Ser*_*nyy 3 security tmp files
TL;DR:我知道一个程序会在/tmp. 我怎样才能拦截他们进行检查?
上下文:
有一个.jar我不信任的特定文件;出于某种原因,它的源代码包含一个 ftm 方法并具有建立连接的能力,这从输出中与网络相关的系统调用中可以明显看出strace(当我指的是连接时,我不是指 unix 域套接字,它是AF_INET6)。我已经使用 Wireshark 进行了检查,并且在使用过程中没有看到任何传出的 TCP 或 UDP 连接。
不过,我还是不太相信。从strace我看到的输出中,它正在创建临时文件/tmp,然后将它们删除。有没有办法拦截这些文件来检查它们的内容?
更好的是,如果您想对恶意 Java 二进制文件进行逆向工程,而不是尝试拦截文件,请反编译可疑.jar文件。
为此,您可以使用CFR - 另一个 java 反编译器
CFR 将反编译现代 Java 功能 - 直到并包括 Java 9 的大部分内容,但完全用 Java 6 编写,因此可以在任何地方使用
要使用,只需使用要反编译的类名(作为类文件的路径,或作为类路径上的完全限定类名)运行特定版本的 jar。(--help 列出参数)。
或者,要反编译整个 jar,只需提供 jar 路径,如果您想发出文件(您可能会这样做!)添加 --outputdir /tmp/putithere
不乏替代方案,但 CFR 项目似乎维护良好,2018 年有更新。
免责声明:自 2005 年以来,我没有对 Java/JAR 二进制文件进行逆向工程