本系列文章所討論的 JavaScript 資安與逆向工程技術，旨在分享知識、探討防禦之道，並促進技術交流。
所有內容僅供學術研究與學習，請勿用於任何非法或不道德的行為。
讀者應對自己的行為負完全責任。尊重法律與道德規範是所有技術人員應共同遵守的準則。

本文同步發佈：https://nicklabs.cc/jsvmp-obfuscation-intro

當基本的混淆技術不足以保護核心邏輯時，還可以採用更高階的防禦手段，虛擬機混淆（VM-Based Obfuscation, JSVMP）。

這種方法將JavaScript程式碼轉換成自定義的虛擬機指令，再由虛擬機在執行階段解譯，這讓逆向變得極度困難。

什麼是JSVMP？

在 JSVMP 混淆的架構中，原本的人類可讀 JavaScript 並不會直接保留在程式碼裡，而是被轉換成一組特製的「虛擬機指令集」。這些指令就像是一種密碼化的腳本，必須透過內建的解譯器（虛擬機）來逐步翻譯與執行，才能讓原始邏輯真正運作。

由於原始邏輯被拆解並重新封裝，程式碼體積會成倍成長而且閱讀起來十分困難。

更重要的是因為核心行為是在執行階段才被逐步還原，前面介紹的各種分析方法幾乎派不上用場，這也是它能有效對抗逆向工程的原因之一。

JSVMP 的特徵

• 大量switch/case結構或查表操作: 解譯器通常透過 switch 判斷執行哪個虛擬指令。
• 程式碼體積膨脹：原始邏輯被拆解成大量虛擬指令，檔案可能從幾 KB 變成數百 KB。
• 動態解譯：真實邏輯只會在執行時透過解譯器還原，靜態分析工具幾乎無法直接讀懂。
• 逆向成本高：必須同時研究「指令集規則」與「解譯流程」導致分析時間大幅增加。

下圖是經過JSVMP混淆過的程式碼，基本的執行邏輯已經無法直覺的閱讀理解。

為什麼 JSVMP 如此難以逆向？

當嘗試對其進行逆向工程時，你面對不是原始的程式邏輯，而是一個完全陌生的 「機器語言」。

• 指令未知: 無法理解每個指令的具體作用。（如: PUSH、ADD）
• 控制流隱藏: 程式的執行路徑被位元碼所取代，原有的 if/else 或 for 迴圈結構被徹底抹平。
• 資料分離: 程式邏輯和資料是分離的。很難單純透過靜態分析來理解整個程式的行為。

若要理解程式必須先逆向出這個虛擬機解釋器，搞懂它的指令集，才能將位元碼還原回有意義的程式邏輯。

這通常需要耗費大量的時間和精力，甚至需要編寫專門的腳本來自動化這個過程。

什麼情況建議使用 JSVMP？

像是授權驗證、演算法、反作弊程式等，都不希望被輕易還原。比起單純的程式碼混淆，JSVMP幾乎讓逆向門檻瞬間提升數倍，如搭配其他防逆向技術夠能讓攻擊者難以下手。

JSVMP門檻高但也不是無敵的，無法否認確實讓逆向分析變得極為困難。

在資安的角度我們必須理解它的基本原理，才能設計對應的分析流程。