Manual DeObfuscation
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
在 软件安全 的领域中,使模糊代码可理解的过程称为 去混淆,这是至关重要的。本指南深入探讨了各种去混淆策略,重点关注静态分析技术和识别混淆模式。此外,它还介绍了一个实践应用的练习,并建议对那些有兴趣探索更高级主题的资源。
在处理 混淆代码 时,可以根据混淆的性质采用几种策略:
DEX 字节码 (Java):一种有效的方法是识别应用程序的去混淆方法,然后在 Java 文件中复制这些方法。执行该文件以逆转目标元素的混淆。
Java 和本地代码:另一种方法是将去混淆算法翻译成像 Python 这样的脚本语言。这一策略强调主要目标不是完全理解算法,而是有效地执行它。
识别混淆代码是去混淆过程的第一步。关键指标包括:
Java 和 Android 中 字符串的缺失或混乱,这可能表明字符串混淆。
资产目录中 存在二进制文件 或对 DexClassLoader
的调用,暗示代码解包和动态加载。
使用 本地库和不可识别的 JNI 函数,表明本地方法可能被混淆。
通过在受控环境中执行代码,动态分析 允许观察混淆代码在实时中的行为。这种方法在揭示旨在隐藏代码真实意图的复杂混淆模式的内部工作原理方面特别有效。
运行时解密:许多混淆技术涉及加密字符串或代码段,这些内容仅在运行时解密。通过动态分析,可以在解密时捕获这些加密元素,揭示其真实形式。
识别混淆技术:通过监控应用程序的行为,动态分析可以帮助识别正在使用的特定混淆技术,例如代码虚拟化、打包器或动态代码生成。
揭示隐藏功能:混淆代码可能包含通过静态分析无法显现的隐藏功能。动态分析允许观察所有代码路径,包括那些有条件执行的路径,以揭示这些隐藏功能。