diff --git a/src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md b/src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md index eeb899d1d..6c5449ebd 100644 --- a/src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md +++ b/src/mobile-pentesting/android-app-pentesting/manual-deobfuscation.md @@ -1,8 +1,10 @@ +# 手动去混淆技术 + {{#include ../../banners/hacktricks-training.md}} ## 手动 **去混淆技术** -在 **软件安全** 的领域中,使模糊代码可理解的过程,称为 **去混淆**,至关重要。本指南深入探讨了各种去混淆策略,重点关注静态分析技术和识别混淆模式。此外,它还介绍了一个实践应用的练习,并建议了进一步的资源,以供有兴趣探索更高级主题的人士。 +在 **软件安全** 的领域中,使模糊代码可理解的过程,称为 **去混淆**,至关重要。本指南深入探讨了各种去混淆策略,重点关注静态分析技术和识别混淆模式。此外,它还介绍了一个实践应用的练习,并建议了进一步的资源,以供有兴趣探索更高级主题的人士使用。 ### **静态去混淆策略** @@ -15,13 +17,13 @@ 识别混淆代码是去混淆过程的第一步。关键指标包括: -- Java 和 Android 中 **字符串的缺失或混乱**,这可能表明字符串混淆。 -- 资产目录中 **存在二进制文件** 或对 `DexClassLoader` 的调用,暗示代码解包和动态加载。 +- Java 和 Android 中 **字符串的缺失或混淆**,这可能表明字符串混淆。 +- 资产目录中 **二进制文件的存在** 或对 `DexClassLoader` 的调用,暗示代码解包和动态加载。 - 使用 **本地库和不可识别的 JNI 函数**,表明本地方法可能被混淆。 ## **去混淆中的动态分析** -通过在受控环境中执行代码,动态分析 **允许观察混淆代码在实时中的行为**。这种方法在揭示旨在隐藏代码真实意图的复杂混淆模式的内部工作原理方面特别有效。 +通过在受控环境中执行代码,动态分析 **允许观察混淆代码在实时中的行为**。这种方法在揭示复杂混淆模式的内部工作原理方面特别有效,这些模式旨在隐藏代码的真实意图。 ### **动态分析的应用** @@ -29,11 +31,79 @@ - **识别混淆技术**:通过监控应用程序的行为,动态分析可以帮助识别正在使用的特定混淆技术,例如代码虚拟化、打包器或动态代码生成。 - **揭示隐藏功能**:混淆代码可能包含通过静态分析无法显现的隐藏功能。动态分析允许观察所有代码路径,包括那些有条件执行的路径,以揭示这些隐藏功能。 +### 使用 LLM 的自动去混淆 (Androidmeda) + +虽然前面的部分专注于完全手动的策略,但在 2025 年,出现了一类 *大型语言模型 (LLM) 驱动* 的工具,可以自动化大部分繁琐的重命名和控制流恢复工作。 +一个代表性项目是 **[Androidmeda](https://github.com/In3tinct/Androidmeda)** – 一个 Python 工具,接受 *反编译* 的 Java 源代码(例如,由 `jadx` 生成),并返回一个经过大幅清理、注释和安全注释的代码版本。 + +#### 关键功能 +* 将 ProGuard / DexGuard / DashO / Allatori / … 生成的无意义标识符重命名为 *语义* 名称。 +* 检测并重构 **控制流扁平化**,用正常的循环 / if-else 结构替换不透明的 switch-case 状态机。 +* 在可能的情况下解密常见的 **字符串加密** 模式。 +* 注入 **内联注释**,解释复杂代码块的目的。 +* 执行 *轻量级静态安全扫描*,并将发现写入 `vuln_report.json`,附带严重性级别(信息 → 关键)。 + +#### 安装 +```bash +git clone https://github.com/In3tinct/Androidmeda +cd Androidmeda +pip3 install -r requirements.txt +``` +#### 准备输入 +1. 使用 `jadx`(或其他反编译器)反编译目标 APK,并仅保留包含 `.java` 文件的 *source* 目录: +```bash +jadx -d input_dir/ target.apk +``` +2. (可选)修剪 `input_dir/`,使其仅包含您想要分析的应用程序包 – 这大大加快了处理速度和 LLM 成本。 + +#### 使用示例 + +远程提供者 (Gemini-1.5-flash): +```bash +export OPENAI_API_KEY= +python3 androidmeda.py \ +--llm_provider google \ +--llm_model gemini-1.5-flash \ +--source_dir input_dir/ \ +--output_dir out/ \ +--save_code true +``` +离线(本地 `ollama` 后端与 llama3.2): +```bash +python3 androidmeda.py \ +--llm_provider ollama \ +--llm_model llama3.2 \ +--source_dir input_dir/ \ +--output_dir out/ \ +--save_code true +``` +#### 输出 +* `out/vuln_report.json` – JSON 数组,包含 `file`、`line`、`issue`、`severity`。 +* 一个镜像包树,包含 **去混淆的 `.java` 文件**(仅在 `--save_code true` 时)。 + +#### 提示与故障排除 +* **跳过的类** ⇒ 通常是由于无法解析的方法引起的;隔离包或更新解析器正则表达式。 +* **运行时间慢 / 高令牌使用** ⇒ 将 `--source_dir` 指向 *特定* 应用包,而不是整个反编译。 +* 始终 *手动审查* 漏洞报告 – LLM 幻觉可能导致误报 /漏报。 + +#### 实际价值 – Crocodilus 恶意软件案例研究 +将 2025 年 *Crocodilus* 银行木马的一个高度混淆样本输入 Androidmeda,将分析时间从 *小时* 减少到 *分钟*:该工具恢复了调用图语义,揭示了对可访问性 API 和硬编码 C2 URL 的调用,并生成了可以导入分析仪仪表板的简明报告。 + +--- + ## 参考文献和进一步阅读 - [https://maddiestone.github.io/AndroidAppRE/obfuscation.html](https://maddiestone.github.io/AndroidAppRE/obfuscation.html) -- BlackHat USA 2018: “解包打包解包器:逆向工程一个 Android 反分析库” \[[视频](https://www.youtube.com/watch?v=s0Tqi7fuOSU)] -- 本次演讲讨论了我所见过的 Android 应用程序使用的最复杂的反分析本地库之一的逆向工程。主要涵盖了本地代码中的混淆技术。 +- BlackHat USA 2018: “解包打包的解包器:逆向工程一个 Android 反分析库” [[视频](https://www.youtube.com/watch?v=s0Tqi7fuOSU)] +- 本次演讲讨论了逆向工程我见过的 Android 应用程序使用的最复杂的反分析本地库之一。主要涵盖了本地代码中的混淆技术。 +- REcon 2019: “通往有效载荷的路径:Android 版” [[视频](https://recon.cx/media-archive/2019/Session.005.Maddie_Stone.The_path_to_the_payload_Android_Edition-J3ZnNl2GYjEfa.mp4)] +- 本次演讲讨论了一系列仅在 Java 代码中使用的混淆技术,Android 僵尸网络使用这些技术来隐藏其行为。 +- 使用 Androidmeda 去混淆 Android 应用(博客文章) – [mobile-hacker.com](https://www.mobile-hacker.com/2025/07/22/deobfuscating-android-apps-with-androidmeda-a-smarter-way-to-read-obfuscated-code/) +- Androidmeda 源代码 – [https://github.com/In3tinct/Androidmeda](https://github.com/In3tinct/Androidmeda) + +- [https://maddiestone.github.io/AndroidAppRE/obfuscation.html](https://maddiestone.github.io/AndroidAppRE/obfuscation.html) +- BlackHat USA 2018: “解包打包的解包器:逆向工程一个 Android 反分析库” \[[视频](https://www.youtube.com/watch?v=s0Tqi7fuOSU)] +- 本次演讲讨论了逆向工程我见过的 Android 应用程序使用的最复杂的反分析本地库之一。主要涵盖了本地代码中的混淆技术。 - REcon 2019: “通往有效载荷的路径:Android 版” \[[视频](https://recon.cx/media-archive/2019/Session.005.Maddie_Stone.The_path_to_the_payload_Android_Edition-J3ZnNl2GYjEfa.mp4)] - 本次演讲讨论了一系列仅在 Java 代码中使用的混淆技术,Android 僵尸网络使用这些技术来隐藏其行为。