JS中注入eval, Function等系统函数截获动态代码

现在很多网站都上了各种前端反爬手段，无论手段如何，最重要的是要把包含反爬手段的前端javascript代码加密隐藏起来，然后在运行时实时解密动态执行。

动态执行js代码无非两种方法，即eval和Function。那么，不管网站加密代码写的多牛，我们只要将这两个方法hook住，即可获取到解密后的可执行js代码。

注意，有些网站会检测eval和Function这两个方法是否原生，因此需要一些小花招来忽悠过去。

挂钩代码

首先是eval的挂钩代码：

(function() {  if (window.__cr_eval) return  window.__cr_eval = window.eval  var myeval = function (src) {    console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============")    console.log(src);    console.log("================ eval end ================")    return window.__cr_eval(src)  }  var _myeval = myeval.bind(null)  _myeval.toString = window.__cr_eval.toString  Object.defineProperty(window, 'eval', { value: _myeval })  console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")})();

这段代码执行后，之后所有的eval操作都会在控制台打印输出将要执行的js源码。

同理可以写出Function的挂钩代码：

(function() {  if (window.__cr_fun) return  window.__cr_fun = window.Function  var myfun = function () {    var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1]    console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============")    console.log(src);    console.log("================ Function end ================")    return window.__cr_fun.apply(this, arguments)  }  myfun.toString = function() { return window.__cr_fun + "" }  Object.defineProperty(window, 'Function', { value: myfun })  console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")})();

注意和eval不同，Function是个变长参数的构造方法，需要处理this

另外，有些网站还会用类似的机制加密页面内容，然后通过document.write输出动态解密的内容，因此同样可以挂钩document.write，挂钩方法类似eval，这里就不重复了。

注入方式

另外，还有个问题需要关注，就是挂钩代码的注入方法。

最简单的就是F12调出控制台，直接执行上面的代码，但这样只能hook住之后的调用，如果希望从页面刚加载时就注入，那么可以用以下几种方式：