4ra1n
4ra1n
class对象,例如class.forname的掉用,例如x.class这时候是ldc指令。这个时候标记一下这个class对象,看看后续getmethod是什么,参数列表是什么,如果最后掉用了invoke,就在数据库里添加一条
就 log4j2 漏洞来说,可以使用老版本的 chaitin/xray 工具,xpoc 没有这个能力
感谢建议
请提供下你的配置文件
需要更详细的信息排查,目前先关闭
感谢,其中几条建议挺好的,我有空会尝试做下其中的部分内容
我目前做了下简单的 1,2 点 第 4 点加了个 if (false) 的简单混淆 先增加这些,其他功能之后再看看怎么搞
1. 这个遇到 jar 没有的类报错,不太理解,可以具体说下吗 2. 这个你说的是类似反射 Class.forName("class") 把,之后可以尝试看一下 2. 混淆白名单我之后考虑下 3. 泛型的问题不太好做,可以结合黑白名单避免一下(优先度不高我先解决其他问题) 4. 覆盖的依赖jar的方法,这个不太理解,可以具体说下吗 5. 目前有修改一处,你的意思是可能出现多处,应该全部修改吗,出现多处的例子是怎样的 67. 花指令的问题,我正在研究 感谢你提出的建议!
1. 这个问题能否给出具体一些的例子,比如开启了哪个配置,报出了什么错误 2. 这个问题我理解并修复了 4. 这个问题我理解并尝试修复了,不确定可用性,可以发新版后测试 5. OverRide 注解最大的问题是,编译后的字节码不会保留该注解,我无法根据这个注解做一些事情,但是目前有一个内置的黑名单:builtin.map.txt 包含了 父类/父接口 -> 方法名 的黑名单,如果父类是这个父类,那么遇到这个方法名不会进行混淆。我计划是多添加一些常用的,支持绝大多数的情况即可 6. 这个问题我理解并修复了
getCommonSuperClass 的报错我大概知道了,因为你开了花指令混淆,ASM 使用中增加新指令需要自定义 ClassWriter 并重写该方法,并且需要自定义类加载器,加载目标 CLASS 找不到会出问题。 简单来说只要不开花指令混淆 `enableJunk` 即可解决,彻底的解决办法可能是你提到的添加依赖 JAR 依赖 JAR 的情景是:输入多个 JAR / 输入一大堆 JAR 输出所有 JAR 的混淆 项目起初的设计是为了混淆单个的可以直接启动的 FAT JAR 类型的程序,没有考虑多个 JAR 文件的处理 可能会有一些挑战,我在工作之余有空的时候会看一下 感谢你提出的多个意见和建议!!