js 反调试怎么实现？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐关注

› Meteor

› JSLint - a JavaScript code quality tool

› jsFiddle

› D3.js

› WebStorm

推荐书目

› JavaScript 权威指南第 5 版

› Closure: The Definitive Guide

这是一个创建于 2791 天前的主题，其中的信息可能已经有所发展或是发生改变。

项目中用到了一些 xml 文件， xml 文件都是通过工具加密的，再用前端 js 解密回来使用， xml 里面都是一些样式代码，如果被解密，辛苦写的样式就被人盗用了。

此加密方法有个缺陷，通过 F12 调试前端 js 的解密函数，可以打印出来解密后的 xml 。

我用过类似 npm code-protect 这种工具来加密 js 文件，发现只是混淆了一些变量名而已，网上有实现 js 反调试的，具体效果见下图，通过什么方法可以实现这种效果呢？

第 1 条附言 · 2017-03-18 20:39:53 +08:00

看到很多朋友留言了，多谢。

可能前面需求没说清楚，不是实现 js 代码加密，是要阻止用浏览器调试工具调试，例如：使用 chrome 或者别的浏览器，格式化 js 文件后，设置一个断点，正常情况下，代码会执行到这个断点，你可以查看变量的值什么的，如果实现反调试，能否实现像截图中那样，破坏调试流程。

@ftpgxm 你提供的方法应该就是正解了，我测试下。谢谢！
用这种手段也属于无奈，辛苦写的皮肤经常被盗用。如果能实现反调试，可以阻止大部分的菜鸟级别的盗用者了。

xml

解密

调试

加密

30 条回复 • 2017-03-20 18:27:45 +08:00

xqin

2017-03-18 18:28:02 +08:00

看图猜代码?

hcwhan

2017-03-18 18:56:28 +08:00

样式这种不是需要被人看到怎么加密

hcwhan

2017-03-18 18:56:55 +08:00

直接查看最后的样式属性不就行了

zzNucker

2017-03-18 19:02:57 +08:00

你发图没用，
地址呢？

ChefIsAwesome

2017-03-18 19:03:27 +08:00

右上角最后一个按钮是停用所有 breakpoints ，直接就破了这东西了。

anai1943

2017-03-18 19:05:10 +08:00

@hcwhan 样式不是 css 写的，是用 action script 写的。如果加密得当，客户端是看不到 xml 里面的样式源码的。

anai1943

2017-03-18 19:07:10 +08:00

@zzNucker 这个。。没地址啊，写出来这个功能的哥们，做成收费的了，只能买他的软件，才能加密 js ，没有提供加密后的 js 预览地址。

qqpkat2

2017-03-18 19:17:33 +08:00

js 加密就是延长解密时间而已
百度和 QQ 的密码加密都能研究出来，你就别想了

anai1943

2017-03-18 19:20:39 +08:00

@qqpkat2 js 代码被解密没关系的，只想达到这样的效果就可以了，用户在浏览器里面用调试工具设置断点的时候，实现截图里面的效果。

des

2017-03-18 19:31:46 +08:00

找到了这个，估计说的也是这个。
各位可以试一试，不过由于那个图片加载不出来，所以一堆 error ，不用管
未加密版的： http://jsfiddle.net/JScrambler/GaeLD/
加密版的： http://jsfiddle.net/JScrambler/5ujp3/

Kilerd

2017-03-18 19:57:57 +08:00

前端的东西还想加密？？？

anai1943

2017-03-18 20:29:47 +08:00

@des 这个很早之前注册过， JScrambler ： https://jscrambler.com/，是商业版的，收费的。你发的 demo 翻墙可以看到图片的。我去试试，以前注册过没怎么研究。

anai1943

2017-03-18 20:30:50 +08:00

@Kilerd 不是加密，是反调试。。在浏览器里面用调试工具设置断点的时候，实现截图里面的效果。

ftpgxm

2017-03-18 20:32:48 +08:00

反调试一个方法就是利用递归次数过多调试工具会抛出异常，旁门左道，前端再怎么设防依旧是运行在客户端的~

Demo: https://jsfiddle.net/ftpgxm/t4ux8xp4/

ftpgxm

2017-03-18 20:45:01 +08:00

@ftpgxm Demo: https://jsfiddle.net/ftpgxm/t4ux8xp4/2/ 一个变量写错

anai1943

2017-03-18 21:03:44 +08:00

@ftpgxm 恩测试可用。。感谢！

hanguofu

2017-03-18 21:15:35 +08:00

学习了， V2EX 高手就是多：）

imswing

2017-03-19 00:13:09 +08:00 via Android

Mark 一下

moyang

2017-03-19 06:15:06 +08:00

@ftpgxm 看了 jsfiddle ，不明白。 chrome 没办法可靠感知 console 是不是打开，怎么能做到“一旦打开调试工具就抛异常”？

beginor

2017-03-19 10:12:16 +08:00 via Android

编译成 Web Assembly 吧

usedname

2017-03-19 10:43:30 +08:00 via iPad

你把代码写的足够烂人家就不会调试你了

des

2017-03-19 10:49:58 +08:00

@ftpgxm chrome 打不打开调试工具一样会抛异常， edge 倒是可以，没装 firefox 不知道

ftpgxm

2017-03-19 12:29:42 +08:00

@des
@moyang
异常应该说是 JS 抛出的，调试工具只是能直观看到，上面表述有误，抱歉。
try cache 为了保证了后续代码能正常执行，同时打开调试工具能进入断点。

macleek

2017-03-19 12:42:01 +08:00

以前在一个不能点投诉的微信页面见到过这种用法。。。

sagaxu

2017-03-19 15:44:35 +08:00

firefox 里深层次递归没用，还是可以调试

bombless

2017-03-19 16:11:06 +08:00 via Android

微信网页版的那个加密好像不错，那些 json 中的字符串都被转换过，都不知道怎么转换回来好， 233

momocraft

2017-03-19 19:52:56 +08:00

@ftpgxm 如果把瀏覽器 "拋出異常時自動斷點" 的功能關掉, 這個方法還好用嗎?

rannnn

2017-03-20 08:33:05 +08:00

@moyang debugger statement 只有在 console 打开的情况下才有用。写那么复杂其实就是循环 500 次

moyang

2017-03-20 11:00:45 +08:00 via Android

@rannnn debugger 语句只有开 console 才有用，这是对的。但是递归循环这一块就是不开 console 也会有。所以重点就是不开 console 会递归但没有异常，开了 console 就会有异常？没发现这样的现象啊

还不如在所有语句中间插入数百 debugger 语句，也能干扰调试

rannnn

2017-03-20 18:27:45 +08:00

@moyang 我觉得那个递归没啥意义，直接循环就完了

js 反调试 怎么实现？

js 反调试怎么实现？