Manual De-obfuscation Techniques

Katika eneo la usalama wa programu, mchakato wa kufanya msimbo uliofichwa kueleweka, unaojulikana kama de-obfuscation, ni muhimu. Mwongo huu unachunguza mikakati mbalimbali za de-obfuscation, ukizingatia mbinu za uchambuzi wa statiki na kutambua mifumo ya obfuscation. Aidha, inatoa zoezi la matumizi ya vitendo na inapendekeza rasilimali zaidi kwa wale wanaopenda kuchunguza mada za juu zaidi.

Strategies for Static De-obfuscation

Wakati wa kushughulika na obfuscated code, mikakati kadhaa inaweza kutumika kulingana na asili ya obfuscation:

• DEX bytecode (Java): Njia moja yenye ufanisi ni kutambua mbinu za de-obfuscation za programu, kisha kuiga mbinu hizi katika faili la Java. Faili hii inatekelezwa ili kubadilisha obfuscation kwenye vipengele vilivyokusudiwa.

• Java na Msimbo wa Asili: Njia nyingine ni kutafsiri algorithimu ya de-obfuscation kuwa lugha ya skripti kama Python. Mikakati hii inaonyesha kwamba lengo kuu si kuelewa kabisa algorithimu bali kuitekeleza kwa ufanisi.

Identifying Obfuscation

Kutambua msimbo uliofichwa ni hatua ya kwanza katika mchakato wa de-obfuscation. Viashiria muhimu ni pamoja na:

• ukosefu au kuchanganya kwa nyuzi katika Java na Android, ambayo inaweza kuashiria obfuscation ya nyuzi.

• uwepo wa faili za binary katika saraka ya mali au wito kwa DexClassLoader, ukionyesha unpacking ya msimbo na upakiaji wa dynamic.

• Matumizi ya maktaba za asili pamoja na kazi za JNI zisizoweza kutambulika, zikionyesha uwezekano wa obfuscation ya mbinu za asili.

Dynamic Analysis in De-obfuscation

Kwa kutekeleza msimbo katika mazingira yaliyodhibitiwa, uchambuzi wa dynamic unaruhusu kuangalia jinsi msimbo uliofichwa unavyofanya kazi kwa wakati halisi. Njia hii ni yenye ufanisi hasa katika kufichua kazi za ndani za mifumo tata ya obfuscation ambayo imeundwa kuficha nia halisi ya msimbo.

Applications of Dynamic Analysis

• Runtime Decryption: Mbinu nyingi za obfuscation zinajumuisha kuandika nyuzi au sehemu za msimbo ambazo zinafichwa tu wakati wa utekelezaji. Kupitia uchambuzi wa dynamic, vipengele hivi vilivyoandikwa vinaweza kukamatwa wakati wa ufichuzi, vikifunua sura zao halisi.

• Identifying Obfuscation Techniques: Kwa kufuatilia tabia ya programu, uchambuzi wa dynamic unaweza kusaidia kutambua mbinu maalum za obfuscation zinazotumika, kama vile virtualization ya msimbo, packers, au uzalishaji wa msimbo wa dynamic.

• Uncovering Hidden Functionality: Msimbo uliofichwa unaweza kuwa na kazi zilizofichwa ambazo hazionekani kupitia uchambuzi wa statiki pekee. Uchambuzi wa dynamic unaruhusu kuangalia njia zote za msimbo, ikiwa ni pamoja na zile zinazotekelezwa kwa masharti, ili kufichua kazi hizo zilizofichwa.

References and Further Reading

• https://maddiestone.github.io/AndroidAppRE/obfuscation.html

• BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” [video]

• Hotuba hii inazungumzia uhandisi wa nyuma wa moja ya maktaba za asili za anti-analysis ngumu zaidi nilizoshuhudia zikitumika na programu ya Android. Inashughulikia hasa mbinu za obfuscation katika msimbo wa asili.

• REcon 2019: “The Path to the Payload: Android Edition” [video]

• Hotuba hii inajadili mfululizo wa mbinu za obfuscation, pekee katika msimbo wa Java, ambazo botnet ya Android ilikuwa ikitumia kuficha tabia yake.