De-obfuscation反混淆_解密字符串_ jeb script

最新推荐文章于 2024-05-20 22:10:01 发布
最新推荐文章于 2024-05-20 22:10:01 发布
阅读量1.8k 收藏 2
点赞数 2
分类专栏: # Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_38641765/article/details/86581646
版权

小技巧

(1) 如果混淆的类名中出现过于复杂的Aeabffdccdac这种类型的类名,明显是经过手动更改的,所以有可能就是恶意的软件,因为大部分正规开发这只用商用的混淆器,混淆成 (a, b, c, etc.) 这种,不会过于复杂

 
13671484-e877272d35f11903.png

 

导出Jar包流程,简单的jeb脚本

eclipse配置jeb.jar包教程

import jeb.api.IScript;
import jeb.api.JebInstance;

public class jeb_javaScript implements IScript{
    @Override
    public void run(JebInstance instance) {
        // TODO Auto-generated method stub
        instance.print("sample java script of jeb");
    }
}
  • 导出jar包时,如果使用默认的elipse配置的MANIFEST.MF,会报错
    导入Jar插件出错,manifest中没有JEB插件-类属性 产生错误,不能导入程序
    解决:入口类设置成类似这样:JebPlugin-entryclass: jeb_javaScript,不要使用Main-Class: jeb_javaScript
     
    13671484-8b396c33159304f4.png
     
 
13671484-09849f3b0e809985.png
2018-09-27_185634.png

 

 
13671484-b5dc9e1899608744.png
2018-09-27_185716.png


最后要保证清单文件中,至少包含这两个属性

 
13671484-2724bfc4a0465047.png
2018-09-27_190338.png

 

DecryptStrings

  • java的解密字符串脚本 -> 传送门
    这里根据JEB官网脚本传送门,来学习和编写

ast:抽象语法树,每一个节点代表源代码中的一种语法结构(while,if-else,return...)

source code

Jeb_PythonScript.py

# coding: utf8
# 这个第三方库在jeb工具doc目录下的apidoczip包里,所以脚本需要存放在plugins目录里
from jeb.api import IScript
from jeb.api.dex import Dex
from jeb.api import EngineOption
from jeb.api.ui import View
from jeb.api.ast import Class, Field, Method, Call, Constant, StaticField, NewArray

# jeb根据文件名,实例化类,执行run函数来实现整个流程
class Jeb_PythonScript(IScript):
    
    # jeb脚本的运行函数
    def run(self, jeb):
        # 获取当前运行的jeb对象
        self.jeb = jeb
        # 当前被jeb处理的dex文件对象
        self.dex = jeb.getDex()
        # 获取一个AST的实例对象(包含各种语法结构,if-else,return...)
        self.constant = Constant.Builder(jeb)
        # 指定需要扫描的类
        self.scanClassname = 'Lfree/vpn/proxy/unblock/android/easy/app/c/c;'
        # 可以使用dex.getClassSignatures获取所有被签名的类名,找到指定的类名
        # 反编译指定类成java代码,来判断是否找到了该类
        r = jeb.decompileClass(self.scanClassname)

        # 解密方法的索引
        self.decryptmethodindex = None
        # 调用解密方法的方法列表
        self.callDecryptmthodlist = None
        # 根据加密函数中用到的字符列表的类型标识来填写
        wanted_flags = Dex.ACC_STATIC|Dex.ACC_FINAL|Dex.ACC_PROTECTED
        if not r:
            print "could not find class %s" %self.scanClassname
        # 获取这个类的抽象语法树对象 
        classASTobj = jeb.getDecompiledClassTree(self.scanClassname)
        # 获取语法树对象的字段
        for rootfield in classASTobj.getFields():
            # 字段的签名(也就是声明的变量)
            fieldsignlist = rootfield.getSignature().split('\n')
            # 过滤出解密函数中用到的char类型列表
            for siglefieldsign in fieldsignlist:
                if siglefieldsign.endswith(':[C'):
                    fielddata = self.dex.getFieldData(siglefieldsign)
                    # 该字段的访问标识(i.e.protected static final char[] d;中的protected static final)
                    if fielddata.getAccessFlags() == wanted_flags:
                        print "find parameter character list : %s" %siglefieldsign

                    """
                    根据解密需要的参数列表的引用情况,找到引用他的解密函数
                    遍历出所有调用这个解密方法的地方
                    然后执行解密函数,并用解密的结果替换调用地方的内容
                    """
                    # 获取解密函数签名(完整路径),因为只取名字会有重复
                    listindex = fielddata.getFieldIndex()
                    # 根据提供的字段索引,检索出所有引用他的方法列表(列表中是方法的索引)
                    for siglemthodindex in self.dex.getFieldReferences(listindex):
                        # 获取这个索引所代表的原版方法
                        self.decryptmethodindex = siglemthodindex
                        methodname = self.dex.getMethod(siglemthodindex).getSignature(False)
                        if '<clinit>' not in methodname and methodname != "":
                            self.decryptmethodname = methodname
                            print "*********************************************************************"
                            print "[+] found decrypt method: %s" %self.dex.getMethod(siglemthodindex).getSignature(False)
                            break
                    """
                    获取所有函数对象,找到调用解密方法的地方
                    """
                    # 根据解密方法的索引,获取调用这个解密方法的方法对象(int型的索引)列表
                    # callDecryptmthodlist:(DexMethod型)方法对象列表
                    referenceMethodList = self.dex.getMethodReferences(self.decryptmethodindex)
                    for sigleindex in referenceMethodList:
                        if self.callDecryptmthodlist == None:
                            self.callDecryptmthodlist = [self.dex.getMethod(sigleindex)]
                        else:
                            self.callDecryptmthodlist.append(self.dex.getMethod(sigleindex))
                    print "*********************************************************************"
                    for mobj in self.callDecryptmthodlist:
                        print "[+] find method which call decrypt method: %s" %mobj.getSignature(False)
                    print "*********************************************************************"

                    # 在这个调用解密方法的方法中,找到解密方法的具体位置
                    # 获取这个方法对象的抽象树上的所有元素节点
                    decryptElements = self.jeb.getDecompiledMethodTree(mobj.getSignature(True)).getSubElements()
                    #
                    # self.findPositionCallDecryptMthod(decryptElements) 
                    self.findPositionCallDecryptMthod(decryptElements)
                    
    

    # 检查方法元素的各个节点,找到调用解密函数的具体位置
    def findPositionCallDecryptMthod(self, dts):
        # 解密方法的抽象语法树
        call = None
        # 遍历全部元素节点找到解密函数的调用地方
        for i in dts:
            # 如果当前元素节点不是一个方法调用对象,就遍历该元素节点内的所有节点
            if not isinstance(i, Call):
                subElements = i.getSubElements()
                self.findPositionCallDecryptMthod(subElements)
                continue
            # 当前元素是函数调用对象的前提下,判断是否为解密函数
            # 只能使用签名来判断,不能使用对象值来判断,因为对象字段如"jeb.api.dex.DexMethod@161b6ca"不一样,一个是调用函数对象,一个是声明函数对象)
            if i.getMethod().getSignature() != self.decryptmethodname:
                subElements = i.getSubElements()
                self.findPositionCallDecryptMthod(subElements)
                # print subElements
                continue
            call = i
        # 获取其参数
        if call != None:
            for i in call.getArguments():
                print i.getLeft().getLeft()
    # 这里是解密方法,相当于将源码中的解密方法,赋值过来,和我最开始想的是,直接传入参数,调用反编译后的解密方法
    def decrypt():
        ...

jeb1API文档 https://www.pnfsoftware.com/jeb1/apidoc/
https://rednaga.io/2017/10/28/hacking-with-dex-oracle-for-android-malware-deobfuscation/

jeb2/jeb3 API 对应的脚本

# coding=utf-8

from com.pnfsoftware.jeb.client.api import IScript, IGraphicalClientContext
from com.pnfsoftware.jeb.core import RuntimeProjectUtil
from com.pnfsoftware.jeb.core.actions import Actions, ActionContext, ActionXrefsData
from com.pnfsoftware.jeb.core.events import JebEvent, J
from com.pnfsoftware.jeb.core.output import AbstractUnitRepresentation, UnitRepresentationAdapter
from com.pnfsoftware.jeb.core.units.code import ICodeUnit, ICodeItem
from com.pnfsoftware.jeb.core.units.code.java import IJavaSourceUnit, IJavaStaticField, IJavaNewArray, IJavaConstant, IJavaCall, IJavaField, IJavaMethod, IJavaClass
from urllib import unquote
from com.pnfsoftware.jebglobal import cm
import base64

"""解密指定类
1.遍历每个类的每个方法,提取里面包含解密函数的部分

2.实现解密函数

3.将第一步的解密部分替换成解密后的字符串

"""
sDecryptMethodName = u'nqjeQEdgDT'

class JEBSampleScript(IScript):

  def run(self, ctx):
    engctx = ctx.getEnginesContext()
    if not engctx:
      print('Back-end engines not initialized')
      return

    projects = engctx.getProjects()
    if not projects:
      print('There is no opened project')
      return
    prj = projects[0]
    print('Decompiling code units of %s...' % prj)

    self.codeUnit = RuntimeProjectUtil.findUnitsByType(prj, ICodeUnit, False)[0]
    print(self.codeUnit)

    # 1.遍历所有类和方法
    units = RuntimeProjectUtil.findUnitsByType(prj, IJavaSourceUnit, False)
    for unit in units:
      javaClass = unit.getClassElement()
      self.cstbuilder = unit.getFactories().getConstantFactory()
      print("find class {} --> {}".format(javaClass.getName(), javaClass))
      for oMethod in javaClass.getMethods():
          self.replaceElement(oMethod)
        

    print('finish!')

  # 2.解密函数
  def decrypt(self, sEnryptText):
    # first decrypt
    bUrldecodeText = bytearray(unquote(sEnryptText), encoding="utf-8")
    # second decrypt
    bKey = bytearray("OZLkiSmkmZ")
    iKeyLen = len(bKey)
    iUrldecodeTextLen = len(bUrldecodeText)
    bDecryptText = bytearray(iUrldecodeTextLen)
    v3 = 0
    v4 = 0
    while(v3 < iUrldecodeTextLen):
        bDecryptText[v4] = bUrldecodeText[v3] ^ bKey[v4 % iKeyLen]
        v3 += 1
        v4 += 1
    # third decrypt
    if (len(bDecryptText) % 3) != 0:
        bDecryptText.append("=")
    return base64.b64decode(bDecryptText)

  # 3.替换函数
  def replaceElement(self, javaMethod):
    block = javaMethod.getBody()
    i = 0
    while i < block.size():
      stm = block.get(i)
      self.checkElement(block, stm)
      i += 1
      
  def checkElement(self, parent, e):   
      if isinstance(e, IJavaCall):
        mname = e.getMethod().getName()
        if mname == sDecryptMethodName:
            sArg = ""
            if isinstance(e.getArguments()[0], cm):
                print "sArg"
                return
            else:
                sArg = e.getArguments()[0].getString()
            decrypted_string = self.decrypt(sArg)
            parent.replaceSubElement(e, self.cstbuilder.createString(decrypted_string))
            print '  Decrypted string: %s' % repr(decrypted_string)

      for subelt in e.getSubElements():
        if isinstance(subelt, IJavaClass) or isinstance(subelt, IJavaField) or isinstance(subelt, IJavaMethod):
          continue
        self.checkElement(e, subelt)

 

Dr. 熊
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET 中各种混淆Obfuscation)的含义、原理、实际效果和不同级别的差异(使用 SmartAssembly)
walterlv - 吕毅
08-27 1万+
长文预警!!! UWP 程序有 .NET Native 可以将程序集编译为本机代码,逆向的难度会大很多;而基于 .NET Framework 和 .NET Core 的程序却没有 .NET Native 的支持。虽然有 Ngen.exe 可以编译为本机代码,但那只是在用户计算机上编译完后放入了缓存中,而不是在开发者端编译。 于是有很多款混淆工具来帮助混淆基于 .NET 的程序集,使其稍微难以逆...
llvm-string-obfuscator:LLVM字符串混淆
04-14
LLVM字符串混淆器 隐藏所有珍贵的字符串,而无需触摸源代码,而只需使用LLVM字节码操作即可。 随附的帖子: : 如何 安装llvm sudo apt install llvm 构建StringObfuscator库: mkdir build cd build cmake .. ...
AST混淆实战:4行代码解决obfuscator解密函数复赋值问题
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-09 3562
前天打了个 安卓逆向+ JavaScript 逆向组合课的广告,今天写在原创的东西,以飨读者。更新了obfuscator 混淆工具更新了,地址https://obfuscator....
移动安全-APK编译
道阻且长,行则将至。
07-31 730
https://ibotpeaches.github.io/Apktool/install/
AST混淆|如何彻底还原标准的ob混淆代码(上)
最新发布
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-20 547
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.什么是ob混淆ob混淆是最最最常见的混淆代码,它的变量名一般是以"_0x"开头,如"_0x33fc",很多新手朋友因为基础不扎实,误以为它是一个十六进制的数据。它的官网地址:https://obfuscator.io/2.旧版的ob混淆目前网站上主要流行...
AST实战|手把手教你还原ob混淆:ob混淆代码特征
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-24 3517
ob混淆过的代码有那些特征?特征一:大数组 +移位自执行函数 +解密字符串函数。下面的代码是一个之前我在官网上混淆的一个例子:‍可以看到,大数组为变量_0x33fc,移位自执行函数...
Eazfuscator.NET 2021.4 学习版 支持.Net6混淆
资源收集
01-19 2232
Eazfuscator.NET是.NET 平台的工业级混淆器 。Eazfuscator.NET就像 1-2-3 一样简单。它可以保护您的代码,而不会破坏它 —— 即使在最复杂的情况下 —— 我们已经处理好了。您可以将Eazfuscator.NET视为一个很好的合作伙伴,他可以为您提供很多帮助,并且仍然不会因为他的任何问题而困扰您。如果您有一些非常特殊的保护要求,请注意我们的代码虚拟化功能。它真的很容易使用,一旦使用Eazfuscator.NET保护您的 Visual Studio 项目,然后就忘了它。每次您
Java-protection-technology.zip_Protection_java protection
09-22
混淆工具如ProGuard、Zelix KlassMaster或ProGuard的开源替代品DexGuard,会将源代码中的类名、方法名和变量名改写为无意义的字符串,增加编译的难度。混淆后的代码虽然难以阅读,但不影响程序的正常运行。 其次...
dbms_obfuscation_toolkit加密解密数据
04-20
dbms_obfuscation_toolkit加密解密数据
de4dot-net35.zip_Open Net_de4dot_de4dot-net35_de4dot-net35.zip_d
07-15
de4dot is an open source (GPLv3) .NET deobfuscator and unpacker written in C#. It will try its best to restore a packed and obfuscated assembly to almost the original assembly. Most of the obfuscation...
谜题:Gradle插件-混淆字符串加密(AndroidJava)
02-04
Gradle插件-混淆字符串加密(Android / Java) 这个项目是一个简单的Gradle插件,可帮助您在编译时加密Android Java代码的所有String值。 重要提示:如果您的项目不受git或SVN之类的SCM工具管理,则Enigma插件将...
流程混淆工具DeFlowOb
09-15
对.net程序进行流程混淆,可以进行流程混淆
JEB2混淆脚本android 逆向脚本
07-30
JEB2.2.xJEB2.2.xJEB2.2.x[原创]JEB2混淆神器 [原创]JEB2混淆神器
编译神器jeb(linux版)
01-19
linux 版编译神器,解压后直接使用
JEB V3.0.0
05-21
安卓逆向工具最新版 v3.0.0 下载后解压可直接使用,亲测有效,代码解析率高,若解析不了需在jeb_wincon.bat文件中配置JAVA_HOME环境变量
最全最新编译+脱壳+混淆工具
01-22
最全最新编译+脱壳+混淆工具 需要的拿走 亲测可用 里面附有源码 高深人员还可以重新编译源码
AST混淆实战|变种ob混淆还原指南一
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
10-31 516
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.需求ob混淆是我们最常见的混淆代码,标准的混淆 可以用星球里的一键还原直接还原干净。但是不可能每个网站都使用标准的混淆。对于变种的ob混淆,使用星球里的 还原框架 就有点无用武之地了。因此,写下此系列文章,帮助星友们学习混淆的思路。2.实例由于网站一时半会找...
安卓逆向代码混淆 Simplify工具 JEB2混淆神器
sinat_28371057的博客
01-19 7646
【技术分享】Android程序混淆利器——Simplify工具 https://www.anquanke.com/post/id/85388 发布时间:2017-01-23 17:21:23 问题背景 Android程序代码混淆是Android开发者经常用来防止app被编译之后迅速被分析的常见手法。在没有混淆的代码中,被编译的Android程序极其容易被分析与逆向,分析利器JEB就是一个很好的工具。但是加了混淆之后,函数、变量的名称将被毫无意义的字母替代,这将大大提高分析的难度。有的甚至会
AST实战|免安装一键还原ob混淆详细使用教程
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-09 3886
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.环境安装在nodejs官网下载最新稳定版并安装:下载地址:https://nodejs.org/en/安装成功后,在命令行模式输入 node,如果有版本号显示,则表示安装成功。二.下载项目项目地址:https://github.com/Tsaibo...
dbms_obfuscation_toolkit.md5怎么使用
05-24
`dbms_obfuscation_toolkit.md5` 是 Oracle 数据库中的一个函数,用于生成 MD5 消息摘要。使用它需要按照以下步骤进行: 1. 登录到 Oracle 数据库中,并连接到你想要使用 `dbms_obfuscation_toolkit.md5` 函数的模式。 2. 在 SQL 命令行中,执行以下命令: ```sql SELECT dbms_obfuscation_toolkit.md5(input_string => 'YOUR_INPUT_STRING') FROM dual; ``` 其中,`YOUR_INPUT_STRING` 是你想要生成 MD5 消息摘要的字符串。 3. 执行上述命令后,将会在 SQL 命令行中返回一个长度为 32 的十六进制字符串,即为该字符串的 MD5 消息摘要。 注意事项: - `dbms_obfuscation_toolkit.md5` 函数的输入字符串最大长度为 32767 个字符。 - 由于 MD5 已经被证明不安全,建议使用更安全的哈希算法,如 SHA-256 或 SHA-3。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值