Reversing Native Libraries
WhiteIntel είναι μια μηχανή αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.
Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αποκλεισμών λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κακόβουλα λογισμικά που κλέβουν πληροφορίες.
Μπορείτε να ελέγξετε τον ιστότοπό τους και να δοκιμάσετε τη μηχανή τους δωρεάν στο:
Για περισσότερες πληροφορίες ελέγξτε: https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html
Οι εφαρμογές Android μπορούν να χρησιμοποιούν τοπικές βιβλιοθήκες, συνήθως γραμμένες σε C ή C++, για εργασίες κρίσιμες για την απόδοση. Οι δημιουργοί κακόβουλου λογισμικού χρησιμοποιούν επίσης αυτές τις βιβλιοθήκες, καθώς είναι πιο δύσκολο να αναστραφούν από τον αναλυτή κώδικα DEX. Η ενότητα επικεντρώνεται στις δεξιότητες αναστροφής κώδικα που προσαρμόζονται στο Android, αντί να διδάσκει γλώσσες συναρμολόγησης. Παρέχονται εκδόσεις ARM και x86 των βιβλιοθηκών για συμβατότητα.
Κύρια Σημεία:
Τοπικές Βιβλιοθήκες στις Εφαρμογές Android:
Χρησιμοποιούνται για εργασίες με υψηλή απόδοση.
Γραμμένες σε C ή C++, κάνοντας την αναστροφή δύσκολη.
Βρίσκονται σε μορφή
.so
(κοινόχρηστο αντικείμενο), παρόμοια με τα δυαδικά του Linux.Οι δημιουργοί κακόβουλου λογισμικού προτιμούν τον τοπικό κώδικα για να δυσκολέψουν την ανάλυση.
Διεπαφή Τοπικών Μεθόδων Java (JNI) & Android NDK:
Η JNI επιτρέπει την υλοποίηση μεθόδων Java σε τοπικό κώδικα.
Το NDK είναι ένα σύνολο εργαλείων ειδικά για το Android για τη συγγραφή τοπικού κώδικα.
Η JNI και το NDK γέφυρωνουν τον κώδικα Java (ή Kotlin) με τις τοπικές βιβλιοθήκες.
Φόρτωση και Εκτέλεση Βιβλιοθηκών:
Οι βιβλιοθήκες φορτώνονται στη μνήμη χρησιμοποιώντας το
System.loadLibrary
ή τοSystem.load
.Το JNI_OnLoad εκτελείται κατά τη φόρτωση της βιβλιοθήκης.
Οι μεθόδοι τοπικής καταγγελίας που δηλώνονται στη Java συνδέονται με τις τοπικές λειτουργίες, επιτρέποντας την εκτέλεση.
Σύνδεση Μεθόδων Java με Τοπικές Λειτουργίες:
Δυναμική Σύνδεση: Τα ονόματα των λειτουργιών στις τοπικές βιβλιοθήκες ταιριάζουν με ένα συγκεκριμένο πρότυπο, επιτρέποντας την αυτόματη σύνδεση.
Στατική Σύνδεση: Χρησιμοποιεί το
RegisterNatives
για τη σύνδεση, παρέχοντας ευελιξία στην ονοματολογία και τη δομή των λειτουργιών.Εργαλεία και Τεχνικές Αναστροφής Κώδικα:
Εργαλεία όπως το Ghidra και το IDA Pro βοηθούν στην ανάλυση των τοπικών βιβλιοθηκών.
Το
JNIEnv
είναι κρίσιμο για την κατανόηση των μεθόδων JNI και των αλληλεπιδράσεων.Παρέχονται ασκήσεις για εξάσκηση στη φόρτωση βιβλιοθηκών, σύνδεση μεθόδων και αναγνώριση τοπικών λειτουργιών.
Πόροι:
Μάθηση Συναρμολόγησης ARM:
Προτείνεται για μια βαθύτερη κατανόηση της υποκείμενης αρχιτεκτονικής.
Βασικά της Συναρμολόγησης ARM από το Azeria Labs είναι συνιστώμενα.
Τεκμηρίωση JNI & NDK:
Αποσφαλμάτωση Τοπικών Βιβλιοθηκών:
WhiteIntel είναι μια μηχανή αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.
Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αποκλεισμών λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κακόβουλα λογισμικά που κλέβουν πληροφορίες.
Μπορείτε να ελέγξετε τον ιστότοπό τους και να δοκιμάσετε τη μηχανή τους δωρεάν στο:
Last updated