Mbinu za Kuondoa Ufichaji kwa Mikono

Katika uwanja wa usalama wa programu, mchakato wa kufanya nambari iliyofichwa iwezeeleweka, unaojulikana kama kuondoa ufichaji, ni muhimu. Mwongozo huu unachunguza mikakati mbalimbali ya kuondoa ufichaji, ikilenga mbinu za uchambuzi wa tuli na kutambua mifano ya ufichaji. Aidha, inawasilisha zoezi la matumizi ya vitendo na inapendekeza rasilimali zaidi kwa wale wanaopenda kuchunguza mada za juu zaidi.

Mikakati ya Uchambuzi wa Tuli wa Kuondoa Ufichaji

Wakati unashughulika na nambari iliyofichwa, mikakati kadhaa inaweza kutumika kulingana na asili ya ufichaji:

• Nambari ya DEX (Java): Njia moja yenye ufanisi ni kutambua njia za kuondoa ufichaji za programu, kisha kuiga njia hizi katika faili ya Java. Faili hii inatekelezwa ili kurejesha ufichaji kwenye vipengele vilivyolengwa.

• Nambari ya Java na Nambari ya Asili: Njia nyingine ni kutafsiri algorithm ya kuondoa ufichaji katika lugha ya skrini kama Python. Mkakati huu unasisitiza kwamba lengo kuu si kuelewa kabisa algorithm lakini kuitekeleza kwa ufanisi.

Kutambua Ufichaji

Kutambua nambari iliyofichwa ni hatua ya kwanza katika mchakato wa kuondoa ufichaji. Ishara muhimu ni pamoja na:

• Kutokuwepo au kuchanganyikiwa kwa herufi katika Java na Android, ambayo inaweza kuashiria ufichaji wa herufi.

• Kuwepo kwa faili za binary katika saraka ya mali au wito wa DexClassLoader, unaonyesha kufungua na kupakia nambari kwa njia ya kudumu.

• Matumizi ya maktaba za asili pamoja na kazi za JNI zisizoweza kutambulika, zinazoashiria ufichaji wa njia za asili.

Uchambuzi wa Tuli katika Kuondoa Ufichaji

Kwa kutekeleza nambari katika mazingira yaliyodhibitiwa, uchambuzi wa tuli kuruhusu uchunguzi wa jinsi nambari iliyofichwa inavyotenda wakati halisi. Mbinu hii ni muhimu sana katika kugundua jinsi mifumo ya ufichaji ngumu iliyoundwa kuficha nia halisi ya nambari inavyofanya kazi.

Matumizi ya Uchambuzi wa Tuli

• Ufichuaji wa Wakati wa Uendeshaji: Mbinu nyingi za ufichaji zinahusisha kusimbua herufi au sehemu za nambari ambazo zinafichuliwa tu wakati wa uendeshaji. Kupitia uchambuzi wa tuli, vipengele hivi vilivyofichwa vinaweza kukamatwa wakati wa ufichuaji, kufunua umbo lao halisi.

• Kutambua Mbinu za Ufichaji: Kwa kufuatilia tabia ya programu, uchambuzi wa tuli unaweza kusaidia kutambua mbinu maalum za ufichaji zinazotumiwa, kama vile utekelezaji wa nambari kwa njia ya kubadilisha, pakiti, au kizazi cha nambari kwa njia ya kudumu.

• Kugundua Utendaji Uliofichwa: Nambari iliyofichwa inaweza kuwa na utendaji uliofichwa ambao haueleweki kupitia uchambuzi wa tuli pekee. Uchambuzi wa tuli unaruhusu uchunguzi wa njia zote za nambari, pamoja na zile zinazotekelezwa kwa masharti, ili kugundua utendaji uliofichwa kama huo.

Marejeo na Kusoma Zaidi

• https://maddiestone.github.io/AndroidAppRE/obfuscation.html

• BlackHat USA 2018: "Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library" [video]

• Mazungumzo haya yanajadili mbinu za kuondoa ufichaji, hasa katika nambari ya asili ya Java, ambayo maktaba ya Android ya kudukua ilikuwa ikitumia kuficha tabia yake.

• REcon 2019: "The Path to the Payload: Android Edition" [video]

• Mazungumzo haya yanajadili mfululizo wa mbinu za ufichaji, kwa kutumia nambari ya Java pekee, ambazo botnet ya Android ilikuwa ikitumia kuficha tabia yake.