环境 Windows 10 + ubuntu
Allatori是一款很不错的混淆器,可以混淆java写的java程序或者android程序。
因为allatori里所有文件都是IIIiiiIII此类进行混淆的,并且长度一样,所以不能在Windows下进行解包,拖到ubuntu下使用cfr进行反编译,完成后拖到ide中进行分析
demo版本没有功能上的限制,但是会显示很多demo字样,比如会在部分方法下打印如下标志:
################################################
# #
# ## # # ## ### ### ## ### #
# # # # # # # # # # # # # #
# ### # # ### # # # ## # #
# # # ### ### # # # ### # # ### #
# #
# Obfuscation by Allatori Obfuscator v6.2 DEMO #
# #
# http://www.allatori.com #
# #
################################################
其次部分方法名和变量名可能会被混淆成ALLATORIXDEMO字样,这里主要是针对以上两个如何破除掉限制。
这里可以看到一个规律就是字符串解密都是调用一个名为THIS_IS_DEMO_VERSION_NOT_FOR_COMMERCIAL_USE的解密方法,并且解密参数只有一个,但是分析后发现解密方法并不只有一个,大概有十几个,并且解密算法也不一样,出于这一点就能直接写脚本对字符串进行还原,好在java里有agent机制,这里还是使用javaagent进行动态打印
使用工具依然还是javassist,
这里每加载一个类都会对所有方法进行编译,判断当前方法名,返回值类型和参数类型,过滤掉其它不相关的方法,然后直接在结尾插入system.out.print方法,网上对于javassist的教程简直一塌糊涂,不如直接翻教程,返回值的表示为$_ ,如果是参数的即为$1,$2这样,拿到返回值就可以看出规律,这里运行一下的话会看到很多ALLATORIXDEMO的字样,判断就是这些字段会影响方法名和变量名,直接这里修改方法对返回值进行筛选,判断为我们想改的字段直接修改掉
m.insertAfter(" if ($_!=null&&!$_.isEmpty()&&$_.equals(\"ALLATORIxDEMO\")) {\n" +"$_ = \"qtfreet00\";\n" +"}");
这里我改成了自己的id,自己写个demo混淆测试下
这里logo还在
不过ALLATORIXDEMO的字样已经没有了,然后想着怎么去处理这个logo,测试过程中发现上面的解密时出现了Obfuscation by 的字样,所以这里想着直接连参数也一起打印出来,找到这个字样解密前的状态
发现混淆前Obfucation by包含了^zE}*QS3的字眼,直接去ide里搜索,仅找到一处声明
看来这个地方就是生成logo的地方就行了,直接把返回值改成其它任何的
这里可以发现我并没有直接去指定方法去修改,感觉那样局限性会比较大,混淆器一更新就不行了,所以这里的指定比较模糊,效果
最后还是留下一个问题就是如何直接去掉那个插入的system.out.println | 
[复制链接]
发表于 2017-7-6 10:56
发表于 2017-7-9 18:37
