De-obfuscation反混淆_解密字符串_ jeb script

小技巧

(1) 如果混淆的类名中出现过于复杂的Aeabffdccdac这种类型的类名，明显是经过手动更改的，所以有可能就是恶意的软件，因为大部分正规开发这只用商用的混淆器，混淆成 (a, b, c, etc.) 这种，不会过于复杂

https://rednaga.io/images/hacking-with-dex-oracle-for-android-malware-deobfuscation/class_list.png

导出Jar包流程，简单的jeb脚本

eclipse配置jeb.jar包教程

import jeb.api.IScript;
import jeb.api.JebInstance;

public class jeb_javaScript implements IScript{
    @Override
    public void run(JebInstance instance) {
        // TODO Auto-generated method stub
        instance.print("sample java script of jeb");
    }
}

导出jar包时，如果使用默认的elipse配置的MANIFEST.MF,会报错
导入Jar插件出错，manifest中没有JEB插件-类属性产生错误，不能导入程序
解决：入口类设置成类似这样：JebPlugin-entryclass: jeb_javaScript，不要使用Main-Class: jeb_javaScript

2018-09-27_185634.png

2018-09-27_185716.png

最后要保证清单文件中，至少包含这两个属性

2018-09-27_190338.png

DecryptStrings

java的解密字符串脚本 -> 传送门
这里根据JEB官网脚本传送门,来学习和编写

ast：抽象语法树，每一个节点代表源代码中的一种语法结构(while,if-else,return...)

source code

Jeb_PythonScript.py

# coding: utf8
# 这个第三方库在jeb工具doc目录下的apidoczip包里，所以脚本需要存放在plugins目录里
from jeb.api import IScript
from jeb.api.dex import Dex
from jeb.api import EngineOption
from jeb.api.ui import View
from jeb.api.ast import Class, Field, Method, Call, Constant, StaticField, NewArray

# jeb根据文件名，实例化类，执行run函数来实现整个流程
class Jeb_PythonScript(IScript):
    
    # jeb脚本的运行函数
    def run(self, jeb):
        # 获取当前运行的jeb对象
        self.jeb = jeb
        # 当前被jeb处理的dex文件对象
        self.dex = jeb.getDex()
        # 获取一个AST的实例对象（包含各种语法结构，if-else，return...）
        self.constant = Constant.Builder(jeb)
        # 指定需要扫描的类
        self.scanClassname = 'Lfree/vpn/proxy/unblock/android/easy/app/c/c;'
        # 可以使用dex.getClassSignatures获取所有被签名的类名，找到指定的类名
        # 反编译指定类成java代码,来判断是否找到了该类
        r = jeb.decompileClass(self.scanClassname)

        # 解密方法的索引
        self.decryptmethodindex = None
        # 调用解密方法的方法列表
        self.callDecryptmthodlist = None
        # 根据加密函数中用到的字符列表的类型标识来填写
        wanted_flags = Dex.ACC_STATIC|Dex.ACC_FINAL|Dex.ACC_PROTECTED
        if not r:
            print "could not find class %s" %self.scanClassname
        # 获取这个类的抽象语法树对象 
        classASTobj = jeb.getDecompiledClassTree(self.scanClassname)
        # 获取语法树对象的字段
        for rootfield in classASTobj.getFields():
            # 字段的签名(也就是声明的变量)
            fieldsignlist = rootfield.getSignature().split('\n')
            # 过滤出解密函数中用到的char类型列表
            for siglefieldsign in fieldsignlist:
                if siglefieldsign.endswith(':[C'):
                    fielddata = self.dex.getFieldData(siglefieldsign)
                    # 该字段的访问标识(i.e.protected static final char[] d;中的protected static final)
                    if fielddata.getAccessFlags() == wanted_flags:
                        print "find parameter character list : %s" %siglefieldsign

                    """
                    根据解密需要的参数列表的引用情况，找到引用他的解密函数
                    遍历出所有调用这个解密方法的地方
                    然后执行解密函数，并用解密的结果替换调用地方的内容
                    """
                    # 获取解密函数签名（完整路径），因为只取名字会有重复
                    listindex = fielddata.getFieldIndex()
                    # 根据提供的字段索引，检索出所有引用他的方法列表(列表中是方法的索引)
                    for siglemthodindex in self.dex.getFieldReferences(listindex):
                        # 获取这个索引所代表的原版方法
                        self.decryptmethodindex = siglemthodindex
                        methodname = self.dex.getMethod(siglemthodindex).getSignature(False)
                        if '<clinit>' not in methodname and methodname != "":
                            self.decryptmethodname = methodname
                            print "*********************************************************************"
                            print "[+] found decrypt method: %s" %self.dex.getMethod(siglemthodindex).getSignature(False)
                            break
                    """
                    获取所有函数对象，找到调用解密方法的地方
                    """
                    # 根据解密方法的索引，获取调用这个解密方法的方法对象(int型的索引)列表
                    # callDecryptmthodlist：（DexMethod型）方法对象列表
                    referenceMethodList = self.dex.getMethodReferences(self.decryptmethodindex)
                    for sigleindex in referenceMethodList:
                        if self.callDecryptmthodlist == None:
                            self.callDecryptmthodlist = [self.dex.getMethod(sigleindex)]
                        else:
                            self.callDecryptmthodlist.append(self.dex.getMethod(sigleindex))
                    print "*********************************************************************"
                    for mobj in self.callDecryptmthodlist:
                        print "[+] find method which call decrypt method: %s" %mobj.getSignature(False)
                    print "*********************************************************************"

                    # 在这个调用解密方法的方法中，找到解密方法的具体位置
                    # 获取这个方法对象的抽象树上的所有元素节点
                    decryptElements = self.jeb.getDecompiledMethodTree(mobj.getSignature(True)).getSubElements()
                    #
                    # self.findPositionCallDecryptMthod(decryptElements) 
                    self.findPositionCallDecryptMthod(decryptElements)
                    
    

    # 检查方法元素的各个节点，找到调用解密函数的具体位置
    def findPositionCallDecryptMthod(self, dts):
        # 解密方法的抽象语法树
        call = None
        # 遍历全部元素节点找到解密函数的调用地方
        for i in dts:
            # 如果当前元素节点不是一个方法调用对象，就遍历该元素节点内的所有节点
            if not isinstance(i, Call):
                subElements = i.getSubElements()
                self.findPositionCallDecryptMthod(subElements)
                continue
            # 当前元素是函数调用对象的前提下，判断是否为解密函数
            # 只能使用签名来判断，不能使用对象值来判断，因为对象字段如"jeb.api.dex.DexMethod@161b6ca"不一样，一个是调用函数对象，一个是声明函数对象)
            if i.getMethod().getSignature() != self.decryptmethodname:
                subElements = i.getSubElements()
                self.findPositionCallDecryptMthod(subElements)
                # print subElements
                continue
            call = i
        # 获取其参数
        if call != None:
            for i in call.getArguments():
                print i.getLeft().getLeft()
    # 这里是解密方法，相当于将源码中的解密方法，赋值过来，和我最开始想的是，直接传入参数，调用反编译后的解密方法
    def decrypt():
        ...

jeb1API文档 https://www.pnfsoftware.com/jeb1/apidoc/
https://rednaga.io/2017/10/28/hacking-with-dex-oracle-for-android-malware-deobfuscation/

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 217,406评论 6赞 503
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 92,732评论 3赞 393
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 163,711评论 0赞 353
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,380评论 1赞 293
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,432评论 6赞 392
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,301评论 1赞 301
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,145评论 3赞 418
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,008评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,443评论 1赞 314
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,649评论 3赞 334
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,795评论 1赞 347
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,501评论 5赞 345
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,119评论 3赞 328
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,731评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,865评论 1赞 269
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 47,899评论 2赞 370
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,724评论 2赞 354

De-obfuscation反混淆_解密字符串_ jeb script

小技巧

导出Jar包流程，简单的jeb脚本

DecryptStrings

source code

推荐阅读更多精彩内容