Allatori混淆动态调试分析

Allatori混淆动态调试分析0x00前言在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

Allatori混淆动态调试分析

0x00 前言

在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地方去掉并且重新打包就好了,但是现实总是残酷的,jd-gui打开jar包,META-INF\META-INF.MANIFEST.MF

文件中定义的入口点方法除了定义了一些变量以外,并没有调用任何代码,这下就尴尬了。

而后想拿IDEA进行动态调试jar包,而这些混淆后的类中只有变量的定义,这下无从下手了,随后又试了recaf等反编译工具都不行。思索许久,找到了方法能进行动态调试。思索一个问题,在Java中植入后门的话目前我所能知道的实际上也就2种方法,一个就是解压缩文件落地到指定目录,然后使用反射调用落地的这个exe。第二种则是直接调用JNI或JNA加载dll文件实现加载shellcode。

0x01 Allatori 混淆器

先来看看这个混淆器是如何进行混淆的。

官网:http://www.allatori.com/

原理

在混淆的使用进行加密,并且在Class类中会生成一个静态的解密方法,在使用到字符串的地方,调用解密方法解密,参数就是加密后的字符串。

使用

该混淆器分为两种方式分别是强加密方式 和快速混淆方式,强加密方式会获取调用堆栈。

下载 Allatori-7.1-Demo.zip
然后进入目录 Allatori-7.7-Demo\tutorial\step01\files

  • Clean.bat:清除 log.xml 以及生成混淆的文件
  • config.xml:混淆的配置文件
  • mousegestures-1.2.jar、test.jar:被混淆的 jar 包
  • MouseGesturesOriginal.bat:混淆前 jar 的测试命令
  • MouseGesturesObfuscated.bat:混淆后 jar 的测试命令
  • RunAllatori.bat:执行生成混淆 jar 的命令

官方默认对除了 public 修饰的类、方法、区域放开,其余的都会混淆处理。

修改config.xml文件:

<config>
    <input>
        <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>
        <jar in="mousegestures-1.2.jar" out="obf-mousegestures-1.2.jar"/>
    </input>

    <keep-names>
        <class access="protected+">
            <field access="protected+"/>
            <method access="protected+"/>
        </class>
    </keep-names>

    <property name="log-file" value="log.xml"/>
</config>
 <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>

这里面填写需要混淆和输出的jar包

混淆完成后,扔到jd-gui里面

Allatori混淆动态调试分析

发现部分代码已经查看不了。

0x02 调试分析

jar包调试可查看该篇文jar包调试技巧,这里拿个自写的POC工具进行调试。存在后门jar包在此不做演示。

JDB动态调试

JDB是 The Java Debugger 的简称,它可以用来debug一个Java程序,同时它是 JPDA 的一个参考实现,只是这个实现是基于命令行的。只要熟记几个命令,在受限环境下debug还是很好用的。并且在安装JDK的时候会自带该命令。

Allatori混淆动态调试分析

启动调试模式

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 -jar .\obf-test.jar

调试连接

jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=5005

Allatori混淆动态调试分析

在jdb命令行执行命令即可进行断点调试。

classes   //加载已经类名

Allatori混淆动态调试分析

 stop in com.nice0e3.Processor.auto  //断点设置
 step //执行当前行

Allatori混淆动态调试分析

加载到这里已经可以看到调用了com.nice0e3.Processor.vuln_12_2()方法

stop in com.nice0e3.Processor.vuln_12_2
step

Allatori混淆动态调试分析

 eval  com.nice0e3.HttpClient.getRandomUserAgent() //该功能相当于IDEA调试中的ALT+F8的表达式求值功能

Allatori混淆动态调试分析

移除后门

在调试中找到加载后门的方法,并将类进行反编译把方法中执行后门的方法删除即可,一般都为void方法,删除为空方法即可。不影响正常使用。

分析得知该后门为远程请求文件 , 反射调用java.lang.ProcessBuilder执行cmd.exe /c C:\windows\temp\xxx.exe进行执行后门程序。

0x03 结尾

在使用该方法前,咨询了一下我的几个做安卓逆向的朋友该情况的解决方法。但回答都是进行远程调试,拿到混淆的字段或方法等,写脚本继续批量反编译。该方法比较麻烦没有进行尝试。即便去除后门后,建议工具等东西还是在虚拟机里运行较为恰当。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119876.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • java中switch的用法和逻辑运算符[通俗易懂]

    java中switch的用法和逻辑运算符[通俗易懂]一、switch的用法常见用法如下:importjava.util.Scanner;publicclassA{publicstaticvoidmain(String[]args){Scannersc=newScanner(System.in);intscore=sc.nextInt();if(score>100&&score<0){Syst

  • 第二代身份证 验证

    第二代身份证 验证
    今天,在盛大某网站注册的时候,身份证必填,但我又不想填真实身份证号码,于是随便编了串自认为合法的身份证号码,但是却马上被提示号码错误,由于响应速度极快,可以肯定不是联机校验正确性的,那也就是说第二代身份证除了大家都知道的几位表示生日和性别的规则以外,还有另外的自我校验规则。于是翻开页面源码查看,发现这段js没有被压缩,所以规则也很好懂。
    就在这里给大家科普下,不知道是不是火星了,呵呵。
    以下代码来自这里,版权归盛大。当然,你也可以在维基百科找到更详细的介绍和算法。

  • springboot rabbitmq 之死信队列(延迟消费消息)「建议收藏」

    springboot rabbitmq 之死信队列(延迟消费消息)

  • Oracle(11g)数据库安装详细图解教程

    Oracle(11g)数据库安装详细图解教程一、下载Oracle11gR2安装包(ForWindows)官网下载百度云盘(提取码:u3xw)下载后的安装包文件如下图所示:同时选中两个压缩包进行解压,解压文件会自动合并到名为database同一文件夹,如下图:进入database目录,双击setup.exe文件进行安装,如下图:首先会弹出黑窗口,不用管它,一会自己就消失了,如下图:…

  • mysql alter 修改字段类型_Mysql必读mysql 增加修改字段类型及删除字段类型「建议收藏」

    mysql alter 修改字段类型_Mysql必读mysql 增加修改字段类型及删除字段类型「建议收藏」《MysqL必读MysqL增加修改字段类型及删除字段类型》要点:本文介绍了MysqL必读MysqL增加修改字段类型及删除字段类型,希望对您有用。如果有疑问,可以联系我们。添加)增加一个新列altertablet2adddtimestamp;altertableinfosaddextinyintnotnulldefault’0′;//删除列altertablet2…

  • phpstorm激活码2021.3破解方法

    phpstorm激活码2021.3破解方法,https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号