如何通过Object.getPrototypeOf实现混淆代码中原始对象来源的去伪存真

Object.getPrototypeOf 是安全获取对象真实原型的关键方法，能绕过 constructor 污染、__proto__ 伪造等混淆手段，逐层还原不可篡改的 [[Prototype]] 链，结合 toString.call 和原型属性检查可精准识别对象原始类型与构造意图。

Object.getPrototypeOf 本身不能“去伪存真”混淆代码中的原始对象来源，它只是安全、标准地获取一个对象的直接原型（即 [[Prototype]]），但它在逆向分析混淆代码时，是识别对象真实继承关系和构造意图的关键线索之一。

理解混淆常如何掩盖原型链

混淆器（如 JavaScript Obfuscator、Terser 混淆模式、自定义压缩）常通过以下方式干扰原型溯源：

• 删除或重写 constructor 属性，使 obj.constructor 指向错误或空函数；
• 用 Object.create(null) 创建无原型对象，切断默认原型链；
• 手动设置 __proto__ 或用 Object.setPrototypeOf 动态篡改原型，制造虚假继承；
• 将类/构造函数内联、重命名、包裹在闭包中，导致 instanceof 失效或难以匹配。

此时，constructor 和 instanceof 可能失真，但 Object.getPrototypeOf(obj) 返回的是引擎实际维护的 [[Prototype]] 内部槽值——这个值无法被属性赋值伪造（obj.__proto__ = x 会同步更新它），因此更具可信度。

用 getPrototypeOf 还原真实原型结构

对任意对象调用 Object.getPrototypeOf(obj)，可逐层向上追溯其真实的原型链，不受 constructor 是否被污染影响：

• 若返回 Array.prototype，说明该对象底层仍继承自 Array（哪怕被混淆成 var a = []; a.constructor = null;）；
• 若返回某个具名函数的 .prototype（如 MyClass.prototype），即使 MyClass 被重命名为 _0x1a2b，你仍可通过比对 prototype 上的特征方法（如 hasOwnProperty、自定义方法签名）定位原始类；
• 若多次调用后抵达 null，说明是纯粹的字面量对象或 Object.create(null) 实例，没有内置行为，可排除 Date、RegExp 等原生类型。

结合其他手段交叉验证

Object.getPrototypeOf 是可靠起点，但单靠它不足以“还原原始来源”。需配合：

• Object.prototype.toString.call(obj)：返回 [object Array]、[object Date] 等内部标签，绕过 toString 方法被重写的干扰；
• 检查原型上的不可枚举属性：如 Object.getOwnPropertyNames(Object.getPrototypeOf(obj)) 查看是否有 push、test、getFullYear 等标志性方法；
• 对比原型对象的内存地址：在调试器中观察 Object.getPrototypeOf(obj) === Array.prototype 是否为 true，比字符串匹配更准确；
• 留意 Object.setPrototypeOf 的调用痕迹：如果发现某对象原型被动态修改过，需回溯其初始化逻辑，而非只信最终结果。

注意边界与限制

该方法并非万能：

• 对 Proxy 对象，Object.getPrototypeOf 返回其 target 的原型（规范要求），但若 target 本身被混淆，仍需进一步分析；
• 对跨 iframe 或跨 Realm 的对象（如不同 eval 上下文），原型可能指向另一个全局环境的 Array.prototype，此时 === 比较会失败，需用 toString 或特征方法判断；
• 若混淆器使用 Object.freeze + 属性劫持模拟原生行为（如伪造 length 和索引访问），原型链可能是干净的 Object.prototype，此时需结合行为分析而非仅依赖原型。

不复杂但容易忽略：真正可靠的“来源”，不是名字，而是原型链上不可伪造的结构与行为。Object.getPrototypeOf 提供的就是那个结构锚点。