Allatori混淆动态调试分析

Allatori混淆动态调试分析0x00前言在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

Allatori混淆动态调试分析

0x00 前言

在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地方去掉并且重新打包就好了,但是现实总是残酷的,jd-gui打开jar包,META-INF\META-INF.MANIFEST.MF

文件中定义的入口点方法除了定义了一些变量以外,并没有调用任何代码,这下就尴尬了。

而后想拿IDEA进行动态调试jar包,而这些混淆后的类中只有变量的定义,这下无从下手了,随后又试了recaf等反编译工具都不行。思索许久,找到了方法能进行动态调试。思索一个问题,在Java中植入后门的话目前我所能知道的实际上也就2种方法,一个就是解压缩文件落地到指定目录,然后使用反射调用落地的这个exe。第二种则是直接调用JNI或JNA加载dll文件实现加载shellcode。

0x01 Allatori 混淆器

先来看看这个混淆器是如何进行混淆的。

官网:http://www.allatori.com/

原理

在混淆的使用进行加密,并且在Class类中会生成一个静态的解密方法,在使用到字符串的地方,调用解密方法解密,参数就是加密后的字符串。

使用

该混淆器分为两种方式分别是强加密方式 和快速混淆方式,强加密方式会获取调用堆栈。

下载 Allatori-7.1-Demo.zip
然后进入目录 Allatori-7.7-Demo\tutorial\step01\files

  • Clean.bat:清除 log.xml 以及生成混淆的文件
  • config.xml:混淆的配置文件
  • mousegestures-1.2.jar、test.jar:被混淆的 jar 包
  • MouseGesturesOriginal.bat:混淆前 jar 的测试命令
  • MouseGesturesObfuscated.bat:混淆后 jar 的测试命令
  • RunAllatori.bat:执行生成混淆 jar 的命令

官方默认对除了 public 修饰的类、方法、区域放开,其余的都会混淆处理。

修改config.xml文件:

<config>
    <input>
        <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>
        <jar in="mousegestures-1.2.jar" out="obf-mousegestures-1.2.jar"/>
    </input>

    <keep-names>
        <class access="protected+">
            <field access="protected+"/>
            <method access="protected+"/>
        </class>
    </keep-names>

    <property name="log-file" value="log.xml"/>
</config>
 <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>

这里面填写需要混淆和输出的jar包

混淆完成后,扔到jd-gui里面

Allatori混淆动态调试分析

发现部分代码已经查看不了。

0x02 调试分析

jar包调试可查看该篇文jar包调试技巧,这里拿个自写的POC工具进行调试。存在后门jar包在此不做演示。

JDB动态调试

JDB是 The Java Debugger 的简称,它可以用来debug一个Java程序,同时它是 JPDA 的一个参考实现,只是这个实现是基于命令行的。只要熟记几个命令,在受限环境下debug还是很好用的。并且在安装JDK的时候会自带该命令。

Allatori混淆动态调试分析

启动调试模式

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 -jar .\obf-test.jar

调试连接

jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=5005

Allatori混淆动态调试分析

在jdb命令行执行命令即可进行断点调试。

classes   //加载已经类名

Allatori混淆动态调试分析

 stop in com.nice0e3.Processor.auto  //断点设置
 step //执行当前行

Allatori混淆动态调试分析

加载到这里已经可以看到调用了com.nice0e3.Processor.vuln_12_2()方法

stop in com.nice0e3.Processor.vuln_12_2
step

Allatori混淆动态调试分析

 eval  com.nice0e3.HttpClient.getRandomUserAgent() //该功能相当于IDEA调试中的ALT+F8的表达式求值功能

Allatori混淆动态调试分析

移除后门

在调试中找到加载后门的方法,并将类进行反编译把方法中执行后门的方法删除即可,一般都为void方法,删除为空方法即可。不影响正常使用。

分析得知该后门为远程请求文件 , 反射调用java.lang.ProcessBuilder执行cmd.exe /c C:\windows\temp\xxx.exe进行执行后门程序。

0x03 结尾

在使用该方法前,咨询了一下我的几个做安卓逆向的朋友该情况的解决方法。但回答都是进行远程调试,拿到混淆的字段或方法等,写脚本继续批量反编译。该方法比较麻烦没有进行尝试。即便去除后门后,建议工具等东西还是在虚拟机里运行较为恰当。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119876.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Tarjan_com.pakdata.QuranMajeed

    Tarjan_com.pakdata.QuranMajeedTarjanTarjan是一种求有向图强联通分量的算法,是用dfs实现以及时间戳标记访问最短时间的.Tarjan算法中每个点都需要扩展边,为了存储方便,推荐使用邻接表.Tarjan算法的优势在于其灵活性,基础代码可以直接适用于多数情况.常见于dfs序.

    2022年10月27日
  • 过滤器与拦截器详解图_过滤器 拦截器

    过滤器与拦截器详解图_过滤器 拦截器过滤器详解依赖于servlet容器,实现基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,过滤器一般用于登录权限验证、资源访问权限控制、敏感词汇过滤、字符编码转换等等操作,便于代码重用,不必每个servlet中进行冗余操作。Java中的Filter并不是一个标准的Servlet,它…

  • matlab 折线图 标记_matlab画折线图标记线

    matlab 折线图 标记_matlab画折线图标记线…’MarkerSize’,10)xlabel(‘x’);ylabel(‘y’);·用Matlab画图时,有时候需要对各种图标进行标注,例如,用“+”代表A的运动情况,“*”代表……画出来就成了折线图,请试验之(*);(,’:’,”)同时画两个函数若要改变颜色,在座标对后面加上相关字串即可:;((),”)若要同时改变颜色及图线……是用m…

  • 你太强了我只能躺啊哈哈哈(超我太强的原因)

    大家好,我是二哥呀!之前在送书的时候做了一个小调查,问题是:“你是怎么认识二哥的?”我以为从知乎上了解的多一些,没想到,CSDN上的最多,看来二哥还是在CSDN上更有影响力一些,这个结果多少让我感到有些意外,因为我最近在知乎上更新得更勤快一些。写这篇文章的时候,我去CSDN上看了一眼我的主页。访问量突破了900万!按照目前的增长速度来看,年底突破1000万访问量应该没啥大问题。另外还有一些数据我觉得也挺牛逼的:原创文章数量957篇;作者总榜第12名;作者周榜第

  • 详细设计说明书编写规范「建议收藏」

    详细设计说明书编写规范「建议收藏」第1章引言  1.1目的  使项目详细设计说明书的编写规范化,从而规范软件管理。尽可能详细地描述程序的各成份的设计考虑,以利于编制程序。  [此处加入编写目的]  1.2背景  说明该软件系统名称,开发者,详细设计原则和方案  [此处加入项目背景资料]  1.3参考资料  列出有关的参考资料名称,作者,发表日期,出版单位  [此处加入参考资料]  

  • WPA2协议新攻击方法(KRACK)—WPA2密钥重安装漏洞[通俗易懂]

    WPA2协议新攻击方法(KRACK)—WPA2密钥重安装漏洞[通俗易懂]KeyReinstallationAttacksBreakingWPA2byforcingnoncereuse今年9月份CCS公布了一篇新论文,该论文提出了一种新的攻击方法:KeyReinstallationAttacks,这种攻击方法对WPA2危害甚大。本文简单介绍该攻击方法。我们都知道所有WiFi网络都是靠WiFiProtectedAccess协议的某个实现版

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号