Free CollapseScanner - Простая реверс-инженерия jar файлов

[Purpl3]

CollapseScanner
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)​

На данный момент программа может выявить:

• Network - IPv4, IPv6, URL
• Crypto - алгоритмы хеширования (AES, DES, RSA), хеш функции (MD5, SHA)
• Malicious - выявление бэкдоров, эксплойтов и т.д
• Obfuscation - распознает различные методы обфускации, такие как: длинные названия классов/методов, необычные символы (юникод), high entropy, custom jvm (когда мэджик байты в начале класса DE AD)

Полная инструкция использования в README репозитория проекта (весь исходный код открыт):

Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылки:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Спойлер: Инструменты

Спойлер: Remapper

remapper фиксит .class файлы которые файловая система распознает как папки, чтобы их можно было декомпилировать (сканнер поддерживает сканирование такого метода обфукскации)

например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo

Спойлер: Аргументы программы

Опция	Описание
path	Путь к JAR-файлу, class-файлу или директории для сканирования
--mode	Режим обнаружения: network (сетевой), crypto (крипто функции и т.д), malicious (вредоносный код), obfuscation (обфускация) или all (всё, по умолчанию)
--extract	Извлекает все ресурсы из JAR-файлов
--strings	Извлекает все строки из class-файлов
--output	Указать выходную директорию (по умолчанию: ./extracted)
--json	Экспортировать результаты в формате JSON
-v, --verbose	Включить подробный вывод (показывает размер/энтропию и т.д.)
--threads	Количество потоков для параллельной обработки (0 = автоматически)
--fast	Быстрый режим сканирования - останавливает сканирование после нахождения первого детекта
--max-findings	Максимальное количество находок перед остановкой (по умолчанию: 50, 0 = без ограничений)
--exclude	Исключить пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--find	Сканировать только пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--ignore_keywords_file	Путь к файлу .txt с словами, которые будет игнорировать (по одному на строку)

 

[Purpl3]

хаха зря ты мне дал доступ к ссылке я начинаю крякать твою прогу с говно защитой :tearsofjoy: 100р и мб договоримся пиши в лс форума пока не передумал

? ? ?

 

[Purpl3]

0.1.2:

• Добавил аргументы
• Улучшил визуал

Гитхаб релиз:

Пожалуйста, авторизуйтесь для просмотра ссылки.

там есть ссылки на вирустотал, и билд

 

[Purpl3]

на гитхабе только что выпустил огромную обнову по оптимизации
теперь программа использует LRU кеш, и энтропия файлов теперь более оптимизирована (используется заранее просчитанная таблица логарифмов)

бенчмарк новой версии vs старой:

старая:
читанее файла занимает 8 секунд, а сканирование ~30-40

новая:
читанее файла занимает 8 секунд, а сканирование 10

релиз:

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[Purpl3]

ток что выложил 0.2.2 версию
ссылка на релиз:

Пожалуйста, авторизуйтесь для просмотра ссылки.

изменения:
[+] теперь используется LRU кеш, буфер для сохранения временных данных (если запустить сканнер с -v то он в начале скажет всю инфу)
[~] полностью переписан скан классов, теперь он более быстрый
[~] аргументы -ignore_suspicious и --ignore_crypto изменены на --ignore_keywords
[~] изменено вычисление LOG2 и энтропии

 

[merka1rugg]

Ахуенно

 

[Purpl3]

Посмотреть вложение 306372

Ахуенно

я вчера обновил чтобы оно не детектило этот бред

 

[merka1rugg]

я вчера обновил чтобы оно не детектило этот бред

я как раз его и скачал последний билд

 

[Purpl3]

я как раз его и скачал последний билд

найтли скачай, вот линк:

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[DELTABUST21]

добавь пж дельту или векс или катлу и никс

 

[fofantebe]

добавь пж дельту или векс или катлу и никс

ахахаахахаахахах

 

[JVKEE]

CollapseScanner
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)​

На данный момент программа может выявить:

• Network - IPv4, IPv6, URL
• Crypto - алгоритмы хеширования (AES, DES, RSA), хеш функции (MD5, SHA)
• Malicious - выявление бэкдоров, эксплойтов и т.д
• Obfuscation - распознает различные методы обфускации, такие как: длинные названия классов/методов, необычные символы (юникод), high entropy, custom jvm (когда мэджик байты в начале класса DE AD)

Полная инструкция использования в README репозитория проекта (весь исходный код открыт):

Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылки:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Спойлер: Инструменты

Спойлер: Remapper

remapper фиксит .class файлы которые файловая система распознает как папки, чтобы их можно было декомпилировать (сканнер поддерживает сканирование такого метода обфукскации)

например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo

Спойлер: Аргументы программы

Опция	Описание
path	Путь к JAR-файлу, class-файлу или директории для сканирования
--mode	Режим обнаружения: network (сетевой), crypto (крипто функции и т.д), malicious (вредоносный код), obfuscation (обфускация) или all (всё, по умолчанию)
--extract	Извлекает все ресурсы из JAR-файлов
--strings	Извлекает все строки из class-файлов
--output	Указать выходную директорию (по умолчанию: ./extracted)
--json	Экспортировать результаты в формате JSON
-v, --verbose	Включить подробный вывод (показывает размер/энтропию и т.д.)
--threads	Количество потоков для параллельной обработки (0 = автоматически)
--fast	Быстрый режим сканирования - останавливает сканирование после нахождения первого детекта
--max-findings	Максимальное количество находок перед остановкой (по умолчанию: 50, 0 = без ограничений)
--exclude	Исключить пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--find	Сканировать только пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--ignore_keywords_file	Путь к файлу .txt с словами, которые будет игнорировать (по одному на строку)

гит хаб пубертат