在之前,我碰到了一些加密的脚本。于是我通过Core Dump的方法对其进行了代码解密。而最近我在分析代码的时候,发现了另外一种shell脚本。这种脚本的特点就是将代码打乱,使得代码难以分析。于是我利用了调试Shell脚本的命令 bash -x test.sh
,通过调试的方法,将Shell脚本进行反混淆。在这里我将思路分享给大家
准备材料
- 被混淆的shell脚本
部署步骤
- 分析将反混淆的脚本,可以看到,第一和第二行是利用了无规律的变量名,将脚本内容分开存放于其中,第三行是利用了
eval
方法,调用其变量的值
- 运行Shell脚本的调试命令,将脚本的内容显示出来
shell
1 |
bash -x test.sh |
- 可以看到,代码的真面貌就完全显示出来了