在之前,我碰到了一些加密的脚本。于是我通过Core Dump的方法对其进行了代码解密。而最近我在分析代码的时候,发现了另外一种shell脚本。这种脚本的特点就是将代码打乱,使得代码难以分析。于是我利用了调试Shell脚本的命令 bash -x test.sh ,通过调试的方法,将Shell脚本进行反混淆。在这里我将思路分享给大家

准备材料

  • 被混淆的shell脚本

部署步骤

  1. 分析将反混淆的脚本,可以看到,第一和第二行是利用了无规律的变量名,将脚本内容分开存放于其中,第三行是利用了 eval 方法,调用其变量的值

反混淆Shell脚本的一种思路

  1. 运行Shell脚本的调试命令,将脚本的内容显示出来
shell

1
bash -x test.sh
  1. 可以看到,代码的真面貌就完全显示出来了

反混淆Shell脚本的一种思路