WebAssembly 逆向分析：反编译与内存篡改实战

前言：Wasm 不是加密，只是二进制

WebAssembly 是一种基于堆栈虚拟机的二进制指令格式。它类似于汇编语言，但比 x86 汇编更抽象。浏览器加载 .wasm 文件，编译为机器码运行。

逆向 Wasm 的两种核心思路

静态分析：将 .wasm 反汇编为 .wat (WebAssembly Text) 或伪 C 代码，分析逻辑。
动态调试：利用浏览器开发者工具挂载断点，或直接修改 WebAssembly.Memory（线性内存）。

Wasm 加载与逆向流程

下载 game.wasm
解码 Imports (函数/内存)
读写操作
工具：wasm2wat 生成可读汇编代码 (.wat)
工具：Console 直接修改数值

一、兵器库：逆向工具准备

在开始之前，你需要准备以下工具：

Chrome 浏览器：最强大的 Wasm 调试器。
WABT (The WebAssembly Binary Toolkit)：
- wasm2wat: 将二进制转为人类可读的文本格式（S-表达式）。
- wat2wasm: 将修改后的文本重新编译为二进制。
Ghidra (可选)：安装 Wasm 插件后，可以生成伪 C 代码。

二、实战第一步：捕获与反编译

假设我们正在玩一个网页小游戏，每次点击按钮，金币 +1。我们要把它改成 +1000。

1. 获取 Wasm 文件

打开 Chrome DevTools -> Network 面板，刷新页面，过滤 .wasm。找到 game.wasm 并下载。

2. 转化为可读代码 (WAT)

使用 wasm2wat 工具：

wasm2wat game.wasm -o game.wat

打开 game.wat，你会看到类似这样的代码：

(module(import"env""memory"(memory $0 1))(func $add_gold (param $p0 i32)(result i32)(local $l0 i32) local.get $p0 ;; 获取参数（当前金币） i32.const 1;; 加载常量 1 i32.add ;; 执行加法 local.set $l0 ;; 存入局部变量 local.get $l0 ;; 返回结果)(export"add_gold"(func $add_gold)))

注：真实环境中的函数名通常被 stripped 掉了，只显示 func $f12，你需要根据上下文推断。

三、实战第二步：内存篡改 (Memory Hacking)

Wasm 的内存模型非常简单：它就是一个巨大的、线性的 JavaScript ArrayBuffer。这意味着，JS 可以随意读写 Wasm 的内存！这是最简单的破解方式。

1. 定位内存对象

在 Chrome Console 中，寻找 Wasm 的实例对象。通常在全局变量或者 imports 对象中。

// 假设游戏把实例挂载到了 window.gameInstance
const memBuffer = window.gameInstance.exports.memory.buffer;
const memView = new Int32Array(memBuffer);

2. 搜索数值 (CE 搜内存法)

就像使用 Cheat Engine 一样：

当前金币是 100。
在 Console 输入：memView.forEach((v, i) => { if(v===100) console.log(i) }) -> 得到索引 1024。
玩游戏，金币变成 101。
检查索引 1024 的值：memView[1024] -> 确实是 101。
找到地址了！

3. 修改数值

// 直接把金币改成 999999
memView[1024]=999999;

页面上的金币瞬间暴涨。

四、实战第三步：二进制补丁 (Binary Patching)

如果金币逻辑没有暴露在全局内存中，或者是纯栈操作，我们就需要修改代码本身（Patch）。

1. 修改 WAT 代码

回到刚才反编译的 game.wat 文件。找到加法逻辑：

local.get $p0 i32.const 1;; <--- 这里是增加的数量 i32.add

我们将 1 修改为 1000：

local.get $p0 i32.const 1000;; <--- 修改为 1000 i32.add

2. 重编译为 Wasm

wat2wasm game.wat -o game_hacked.wasm

3. 替换运行 (浏览器端 Hook)

我们不能直接替换服务器文件，但我们可以通过 Chrome 的 Local Overrides 功能，或者写一个 TamperMonkey 脚本来拦截网络请求。

TamperMonkey 脚本思路：

const originalFetch = window.fetch;
window.fetch=async function(url, options){
    if(url.includes('game.wasm')){
        // 拦截请求，返回我们修改过的二进制数据
        const response = await originalFetch('http://localhost:8000/game_hacked.wasm');
        return response;
    }
    return originalFetch(url, options);
};

刷新网页，点击按钮，金币直接 +1000！

五、防御：开发者如何保护 Wasm？

看到这里，你可能会觉得 Wasm 在裸奔。作为开发者，如何防御？

Strip Symbols：发布时务必去除调试符号（函数名、变量名），让逆向者面对 $func1, $func2 抓狂。
控制流平坦化 (Control Flow Flattening)：使用 LLVM 的混淆插件（如 Obfuscator-LLVM），把清晰的 if-else 变成复杂的 switch 跳转，破坏代码结构。
服务器校验：永远不要相信客户端。 像金币这种关键数据，Wasm 只能做展示，计算和存储必须在服务器端完成。

总结

Wasm 逆向正处于一个蓝海阶段。它既不像 x86 汇编那样指令繁杂，也不像 JS 那样容易被混淆成乱码。掌握了 wasm2wat 和线性内存的原理，你就能看穿网页中那些'高性能黑盒'背后的秘密。

下一步建议： 找一个简单的在线 CTF 题目（WebAssembly 类），尝试不看 Writeup，使用 Chrome DevTools 的断点功能，追踪一个加密函数的输入输出，逆向出它的 Flag。

WebAssembly 逆向分析：反编译与内存篡改实战