一. 说明
哥斯拉的流量特征很容易就会被杀软、EDR识别,修改哥斯拉的流量特征可以绕过EDR等杀毒软件。
本次二开是哥斯拉4.0.1。
原版地址:
https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla
环境:IDEA、JAVA1.8
二. 反编译
反编译有三种方式。
在线反编译:
https://www.decompiler.com/IDEA插件
位于idea的根目录下的\plugins\java-decompiler\lib\java-decompiler.jar,命令如下:java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true godzilla.jar ./
会重新生成一个jar,然后用解压工具解压就行了。
注:该插件好像是需要最新的jdk才能跑成功,反正我1.8没成功,换成最新的Java就行了。
下载我的
可以,但没必要。
三. 导入IDEA
开idea,新建项目,名称:R0_Godzilla,路径自定义:
新建个lib,并把原版jar包拖进来,并运行一下,生成一个data.db,
再将反编译完的代码也拖进来,最终项目目录如下:
依赖关系建立
文件 —> 项目结构 —> 项目设置 —> 模块 —> 依赖
添加模块依赖:
添加工件:
文件 —> 项目结构 —> 项目设置 —> 工件:
添加jar:
选择主类,注意勾选:
一路确定出去,基本环境就好了。
先试试能不能重新打包,简单的改个版本先。查找一下特定值:
然后把该文件导入到src:
修改版本号:
成功了。
需改什么功能,直接去原来的反编译文件里吧啦,然后带目录结构的放到src里改叭改叭,运行就可以了。
但是发现有个校验:
应该没有改动到核心代码,所以校验通过了,这里可以规避校验:
再次运行:
未出现校验。
打个jar包看看:
构建 —> 构建工件
搞定,运行:
至此,环境部署完成,可以愉快的魔改了。
四. 开始魔改
一个强特征,就是哥斯拉base64编码器的响应包,具有固定格式:
固定的前16位MD5头:
72a9c691ccdaab98
和固定的后16位MD5尾:
b4c4e1f6ddd2a488
跟进相关响应的代码查看:
理一下代码逻辑,主要的返回特征就下面这些:
所以这里改叭改叭,然后在哥斯拉解析的地方改叭改叭就差不多了。
把路径建好:
然后把原包里的evalxor的java和bin分别复制进去,改特征:
然后修改客户端对响应匹配的逻辑:
最后修改一下包名,形成一个自己的加载器模式:
然后打包,抓个包瞅瞅,前后对比。
修改特征前:
修改特征后:
基本上看不出哥斯拉流量特征了,再混入一些杂七杂八的无用参数基本能过人工甄别,这里只做个抛砖引玉,可以结合自己写的加解密算法来实现都是可以的,代码基本都是比较清晰的。
后续再改叭改叭。
五. END
本文参考艾总的文章: