Allatori混淆动态调试分析

Allatori混淆动态调试分析

0x00 前言

在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地方去掉并且重新打包就好了,但是现实总是残酷的,jd-gui打开jar包,META-INF\META-INF.MANIFEST.MF

文件中定义的入口点方法除了定义了一些变量以外,并没有调用任何代码,这下就尴尬了。

而后想拿IDEA进行动态调试jar包,而这些混淆后的类中只有变量的定义,这下无从下手了,随后又试了recaf等反编译工具都不行。思索许久,找到了方法能进行动态调试。思索一个问题,在Java中植入后门的话目前我所能知道的实际上也就2种方法,一个就是解压缩文件落地到指定目录,然后使用反射调用落地的这个exe。第二种则是直接调用JNI或JNA加载dll文件实现加载shellcode。

0x01 Allatori 混淆器

先来看看这个混淆器是如何进行混淆的。

官网:http://www.allatori.com/

原理

在混淆的使用进行加密,并且在Class类中会生成一个静态的解密方法,在使用到字符串的地方,调用解密方法解密,参数就是加密后的字符串。

使用

该混淆器分为两种方式分别是强加密方式 和快速混淆方式,强加密方式会获取调用堆栈。

下载 Allatori-7.1-Demo.zip
然后进入目录 Allatori-7.7-Demo\tutorial\step01\files

  • Clean.bat:清除 log.xml 以及生成混淆的文件
  • config.xml:混淆的配置文件
  • mousegestures-1.2.jar、test.jar:被混淆的 jar 包
  • MouseGesturesOriginal.bat:混淆前 jar 的测试命令
  • MouseGesturesObfuscated.bat:混淆后 jar 的测试命令
  • RunAllatori.bat:执行生成混淆 jar 的命令

官方默认对除了 public 修饰的类、方法、区域放开,其余的都会混淆处理。

修改config.xml文件:

<config>
    <input>
        <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>
        <jar in="mousegestures-1.2.jar" out="obf-mousegestures-1.2.jar"/>
    </input>

    <keep-names>
        <class access="protected+">
            <field access="protected+"/>
            <method access="protected+"/>
        </class>
    </keep-names>

    <property name="log-file" value="log.xml"/>
</config>
 <jar in="CVE-2020-14882-Gui_Exoloit.V2.2.jar" out="obf-test.jar"/>

这里面填写需要混淆和输出的jar包

混淆完成后,扔到jd-gui里面

发现部分代码已经查看不了。

0x02 调试分析

jar包调试可查看该篇文jar包调试技巧,这里拿个自写的POC工具进行调试。存在后门jar包在此不做演示。

JDB动态调试

JDB是 The Java Debugger 的简称,它可以用来debug一个Java程序,同时它是 JPDA 的一个参考实现,只是这个实现是基于命令行的。只要熟记几个命令,在受限环境下debug还是很好用的。并且在安装JDK的时候会自带该命令。

启动调试模式

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 -jar .\obf-test.jar

调试连接

jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=5005

在jdb命令行执行命令即可进行断点调试。

classes   //加载已经类名

 stop in com.nice0e3.Processor.auto  //断点设置
 step //执行当前行

加载到这里已经可以看到调用了com.nice0e3.Processor.vuln_12_2()方法

stop in com.nice0e3.Processor.vuln_12_2
step

 eval  com.nice0e3.HttpClient.getRandomUserAgent() //该功能相当于IDEA调试中的ALT+F8的表达式求值功能

移除后门

在调试中找到加载后门的方法,并将类进行反编译把方法中执行后门的方法删除即可,一般都为void方法,删除为空方法即可。不影响正常使用。

分析得知该后门为远程请求文件 , 反射调用java.lang.ProcessBuilder执行cmd.exe /c C:\windows\temp\xxx.exe进行执行后门程序。

0x03 结尾

在使用该方法前,咨询了一下我的几个做安卓逆向的朋友该情况的解决方法。但回答都是进行远程调试,拿到混淆的字段或方法等,写脚本继续批量反编译。该方法比较麻烦没有进行尝试。即便去除后门后,建议工具等东西还是在虚拟机里运行较为恰当。

posted @ 2021-04-28 02:11  nice_0e3  阅读(627)  评论(0编辑  收藏  举报