Manual DeObfuscation
Manual De-obfuscation Techniques
Katika eneo la usalama wa programu, mchakato wa kufanya msimbo uliofichwa kueleweka, unaojulikana kama de-obfuscation, ni muhimu. Mwongo huu unachunguza mikakati mbalimbali za de-obfuscation, ukizingatia mbinu za uchambuzi wa statiki na kutambua mifumo ya obfuscation. Aidha, inatoa zoezi la matumizi ya vitendo na inapendekeza rasilimali zaidi kwa wale wanaovutiwa na kuchunguza mada za juu zaidi.
Strategies for Static De-obfuscation
Wakati wa kushughulika na obfuscated code, mikakati kadhaa inaweza kutumika kulingana na asili ya obfuscation:
DEX bytecode (Java): Njia moja yenye ufanisi ni kutambua mbinu za de-obfuscation za programu, kisha kuiga mbinu hizi katika faili la Java. Faili hii inatekelezwa ili kubadilisha obfuscation kwenye vipengele vilivyokusudiwa.
Java na Msimbo wa Asili: Njia nyingine ni kutafsiri algorithimu ya de-obfuscation kuwa lugha ya skripti kama Python. Mikakati hii inaonyesha kwamba lengo kuu si kuelewa kabisa algorithimu bali kuitekeleza kwa ufanisi.
Identifying Obfuscation
Kutambua msimbo uliofichwa ni hatua ya kwanza katika mchakato wa de-obfuscation. Viashiria muhimu ni pamoja na:
ukosefu au kuchanganya kwa nyuzi katika Java na Android, ambayo inaweza kuashiria obfuscation ya nyuzi.
uwepo wa faili za binary katika saraka ya mali au wito kwa
DexClassLoader
, ukionyesha unpacking ya msimbo na upakiaji wa dynamic.Matumizi ya maktaba za asili pamoja na kazi za JNI zisizoweza kutambulika, zikionyesha uwezekano wa obfuscation ya mbinu za asili.
Dynamic Analysis in De-obfuscation
Kwa kutekeleza msimbo katika mazingira yaliyodhibitiwa, uchambuzi wa dynamic unaruhusu kuangalia jinsi msimbo uliofichwa unavyofanya kazi kwa wakati halisi. Njia hii ni bora katika kufichua kazi za ndani za mifumo tata ya obfuscation ambayo imeundwa kuficha nia halisi ya msimbo.
Applications of Dynamic Analysis
Runtime Decryption: Mbinu nyingi za obfuscation zinahusisha kuandika nyuzi au sehemu za msimbo ambazo zinafichwa tu wakati wa utekelezaji. Kupitia uchambuzi wa dynamic, vipengele hivi vilivyoandikwa vinaweza kukamatwa wakati wa ufichuzi, vikifunua sura zao halisi.
Identifying Obfuscation Techniques: Kwa kufuatilia tabia ya programu, uchambuzi wa dynamic unaweza kusaidia kutambua mbinu maalum za obfuscation zinazotumika, kama vile virtualization ya msimbo, packers, au uundaji wa msimbo wa dynamic.
Uncovering Hidden Functionality: Msimbo uliofichwa unaweza kuwa na kazi zilizofichwa ambazo hazionekani kupitia uchambuzi wa statiki pekee. Uchambuzi wa dynamic unaruhusu kuangalia njia zote za msimbo, ikiwa ni pamoja na zile zinazotekelezwa kwa masharti, ili kufichua kazi hizo zilizofichwa.
References and Further Reading
BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” [video]
Hotuba hii inazungumzia uhandisi wa nyuma wa moja ya maktaba za asili za kupambana na uchambuzi ngumu zaidi niliyowahi kuona ikitumiwa na programu ya Android. Inashughulikia hasa mbinu za obfuscation katika msimbo wa asili.
REcon 2019: “The Path to the Payload: Android Edition” [video]
Hotuba hii inajadili mfululizo wa mbinu za obfuscation, kwa kutumia msimbo wa Java pekee, ambazo botnet ya Android ilikuwa ikitumia kuficha tabia yake.
Last updated