Manual DeObfuscation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
U oblasti bezbednosti softvera, proces pretvaranja zamagljenog koda u razumljiv, poznat kao de-obfuscation, je ključan. Ovaj vodič istražuje različite strategije za de-obfuscation, fokusirajući se na tehnike statičke analize i prepoznavanje obrazaca zamagljivanja. Pored toga, uvodi vežbu za praktičnu primenu i predlaže dodatne resurse za one koji su zainteresovani za istraživanje naprednijih tema.
Kada se radi sa obfuscated code, može se primeniti nekoliko strategija u zavisnosti od prirode zamagljivanja:
DEX bytecode (Java): Jedan efikasan pristup uključuje identifikaciju metoda de-obfuscation aplikacije, a zatim repliciranje ovih metoda u Java datoteci. Ova datoteka se izvršava kako bi se obrnulo zamagljivanje na ciljnim elementima.
Java and Native Code: Druga metoda je prevođenje algoritma de-obfuscation u skriptni jezik poput Pythona. Ova strategija naglašava da primarni cilj nije potpuno razumevanje algoritma, već njegovo efikasno izvršavanje.
Prepoznavanje zamagljenog koda je prvi korak u procesu de-obfuscation. Ključni indikatori uključuju:
odsustvo ili premeštanje stringova u Javi i Androidu, što može sugerisati zamagljivanje stringova.
prisutnost binarnih datoteka u direktorijumu resursa ili pozivi na DexClassLoader
, što ukazuje na raspakivanje koda i dinamičko učitavanje.
Korišćenje native biblioteka zajedno sa neidentifikovanim JNI funkcijama, što ukazuje na potencijalno zamagljivanje native metoda.
Izvršavanjem koda u kontrolisanom okruženju, dinamička analiza omogućava posmatranje kako se zamagljeni kod ponaša u realnom vremenu. Ova metoda je posebno efikasna u otkrivanju unutrašnjih mehanizama složenih obrazaca zamagljivanja koji su dizajnirani da sakriju pravu nameru koda.
Runtime Decryption: Mnoge tehnike zamagljivanja uključuju enkripciju stringova ili kodnih segmenata koji se dekriptuju samo u vreme izvršavanja. Kroz dinamičku analizu, ovi enkriptovani elementi mogu se uhvatiti u trenutku dekripcije, otkrivajući njihov pravi oblik.
Identifying Obfuscation Techniques: Praćenjem ponašanja aplikacije, dinamička analiza može pomoći u identifikaciji specifičnih tehnika zamagljivanja koje se koriste, kao što su virtualizacija koda, pakovanje ili dinamičko generisanje koda.
Uncovering Hidden Functionality: Zamagljeni kod može sadržati skrivene funkcionalnosti koje nisu očigledne samo kroz statičku analizu. Dinamička analiza omogućava posmatranje svih putanja koda, uključujući one koje se izvršavaju uslovno, kako bi se otkrile takve skrivene funkcionalnosti.
BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” [video]
Ova prezentacija se bavi obrnuto inženjeringom jedne od najkompleksnijih anti-analiznih native biblioteka koje sam video da koristi Android aplikacija. Pokriva uglavnom tehnike zamagljivanja u native kodu.
REcon 2019: “The Path to the Payload: Android Edition” [video]
Ova prezentacija diskutuje o nizu tehnika zamagljivanja, isključivo u Java kodu, koje je Android botnet koristio da sakrije svoje ponašanje.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)