Verwendung von vlx-vmengine zur Deobfuskation

vlx-vmengine-jvm ist eine in Java implementierte JVM-Bytecode-Ausführungsengine. Bitte lesen Sie https://github.com/vlinx-io/vlx-vmengine-jvm für die Verwendung.

Es gibt ein einfaches Stück Java-Code wie folgt:

class HelloWorld {

    private String name = "";

    public HelloWorld(String name){
        this.name = name;
    }

    public void sayHi(){
        System.out.println("Hi, " + name);
    }

    public static void main(String[] args){
        
        String name = "George";
        HelloWorld hello = new HelloWorld(name);

        hello.sayHi();

    }

}

Nach dem Kompilieren in Klassendateien und der Obfuskation mit einer bestimmten Obfuskations-Engine werden die folgenden Dateien erhalten:

a.class

Nach dem Öffnen mit jadx wurde festgestellt, dass abgesehen von der main-Funktion alle anderen Informationen unkenntlich sind und die Strings verschlüsselt wurden.

Allerdings existieren selbst bei Obfuskation die grundlegende Struktur der Klasse und die Bytecode-Informationen weiterhin. Wenn man a.class mit ClassViewer öffnet, kann man die Methoden und Bytecode-Informationen der Klasse sehen.

Egal wie obfuskiert wird, der Code kann nur auf statischer Ebene verwirrt und die Analysekomplexität erhöht werden. Bei der dynamischen Ausführung muss die ursprüngliche Ausführungslogik des Programms wiederhergestellt werden. Wenn wir vlx-vmengine-jvm verwenden, um den obfuskierten Code in der main-Methode auszuführen, erhalten wir die folgende Ausgabe

2023-05-21 18:19:05 [DEBUG] LocalVars: [kotlin.Unit, kotlin.Unit, kotlin.Unit]
2023-05-21 18:19:05 [DEBUG] "L0: SIPUSH"
2023-05-21 18:19:05 [DEBUG] "push" 7144
2023-05-21 18:19:05 [DEBUG] "L3: SIPUSH"
2023-05-21 18:19:05 [DEBUG] "push" -13249
2023-05-21 18:19:05 [DEBUG] "L6: INVOKESTATIC"
2023-05-21 18:19:05 [DEBUG] "#20"
2023-05-21 18:19:05 [DEBUG] "class a, NameAndType(name='a', type='(II)Ljava/lang/String;')"
2023-05-21 18:19:05 [DEBUG] private static java.lang.String a.a(int,int)
2023-05-21 18:19:05 [DEBUG] "pop" -13249
2023-05-21 18:19:05 [DEBUG] "pop" 7144
2023-05-21 18:19:05 [DEBUG] 	Execute method: private static java.lang.String a.a(int,int)
2023-05-21 18:19:05 [DEBUG] 	Args: [7144, -13249]
2023-05-21 18:19:05 [DEBUG] "push" "George"
2023-05-21 18:19:05 [DEBUG] "L9: ASTORE_1"
2023-05-21 18:19:05 [DEBUG] "pop" "George"
2023-05-21 18:19:05 [DEBUG] "localVars[1] = George"
2023-05-21 18:19:05 [DEBUG] "L10: NEW"
2023-05-21 18:19:05 [DEBUG] class a
2023-05-21 18:19:05 [DEBUG] "push" InstanceToCreate(clazz=class a)
2023-05-21 18:19:05 [DEBUG] "L13: DUP"
2023-05-21 18:19:05 [DEBUG] "pop" InstanceToCreate(clazz=class a)
2023-05-21 18:19:05 [DEBUG] "push" InstanceToCreate(clazz=class a)
2023-05-21 18:19:05 [DEBUG] "push" InstanceToCreate(clazz=class a)
2023-05-21 18:19:05 [DEBUG] "L14: ALOAD_1"
2023-05-21 18:19:05 [DEBUG] "#1"
2023-05-21 18:19:05 [DEBUG] "push" "George"
2023-05-21 18:19:05 [DEBUG] "L15: INVOKESPECIAL"
2023-05-21 18:19:05 [DEBUG] "#47"
2023-05-21 18:19:05 [DEBUG] "class a, NameAndType(name='<init>', type='(Ljava/lang/String;)V')"
2023-05-21 18:19:05 [DEBUG] public a(java.lang.String)
2023-05-21 18:19:05 [DEBUG] "pop" "George"
2023-05-21 18:19:05 [DEBUG] "Execute new instance: public a(java.lang.String)"
2023-05-21 18:19:05 [DEBUG] "Args: [George]"
2023-05-21 18:19:05 [DEBUG] "pop" InstanceToCreate(clazz=class a)
2023-05-21 18:19:05 [DEBUG] "L18: ASTORE_2"
2023-05-21 18:19:05 [DEBUG] "pop" a@4612b856
2023-05-21 18:19:05 [DEBUG] "localVars[2] = a@4612b856"
2023-05-21 18:19:05 [DEBUG] "L19: ALOAD_2"
2023-05-21 18:19:05 [DEBUG] "#2"
2023-05-21 18:19:05 [DEBUG] "push" a@4612b856
2023-05-21 18:19:05 [DEBUG] "L20: INVOKEVIRTUAL"
2023-05-21 18:19:05 [DEBUG] "#54"
2023-05-21 18:19:05 [DEBUG] "class a, NameAndType(name='a', type='()V')"
2023-05-21 18:19:05 [DEBUG] public void a.a()
2023-05-21 18:19:05 [DEBUG] "pop" a@4612b856
2023-05-21 18:19:05 [DEBUG] 	Execute method: public void a.a()
2023-05-21 18:19:05 [DEBUG] 	Receiver: a@4612b856
2023-05-21 18:19:05 [DEBUG] 	Args: [a@4612b856]
Hi, George
2023-05-21 18:19:05 [DEBUG] "L23: RETURN"

Aus der Konsolenausgabe können wir sehen, dass das Programm sein ursprüngliches Verhalten wiederhergestellt hat, nämlich Hi, George auszugeben. Gleichzeitig können wir aus der Ausgabe auch erkennen, dass die Entschlüsselungsfunktion für Strings in private static java.lang.String a.a(int,int) liegt, mit den Parametern 7144 und -13249. Wenn wir weiterhin vmengine verwenden, um die Methode a.a(int,int) zu debuggen, können wir die von dieser Obfuskations-Engine verwendete String-Verschlüsselungsmethode entdecken.

Verwendung von vlx-vmengine zur Deobfuskation

FOLGEN SIE UNS

RECHTLICHES