TL; DR:我知道一个程序会在其中创建然后删除文件/tmp
。我该如何拦截他们进行检查?
内容:
有一个.jar
我不信任的特定文件。由于某种原因,它的源代码包含ftm方法并具有建立连接的能力,这从输出的与网络相关的syscall中可以明显看出strace
(当我的意思是连接时,我的意思不是unix域套接字,而是AF_INET6
)。我已经对Wireshark进行了检查,发现在使用过程中没有传出的TCP或UDP连接。
但是,我仍然不太信任它。从的输出中,strace
我看到它正在创建临时文件/tmp
,然后将其删除。有没有办法拦截这些文件以检查其内容?
更好的是,如果您想对恶意的Java二进制文件进行反向工程,而不是尝试截取文件,请对可疑.jar
文件进行反编译。
为此,您可以使用CFR-另一个Java反编译器
CFR将反编译现代Java功能-包括Java 9在内的大部分功能,但完全使用Java 6编写,因此可以在任何地方使用
要使用,只需使用要反编译的类名运行特定的版本jar(作为类文件的路径,或作为类路径上的完全限定的类名)。(-帮助列出参数)。
或者,要反编译整个jar,只需提供jar路径,如果要发射文件(您可能会这样做!),在此添加--outputdir / tmp / putit
不乏其他选择,但是CFR项目似乎维护得很好,并在2018年进行了更新。
免责声明:自2005年以来,我还没有对Java / JAR二进制文件进行逆向工程
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句