Начинающий
- Статус
- Оффлайн
- Регистрация
- 15 Окт 2021
- Сообщения
- 156
- Реакции
- 19
CollapseScanner
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)
На данный момент программа может выявить:
- Network - IPv4, IPv6, URL
- Crypto - алгоритмы хеширования (AES, DES, RSA), хеш функции (MD5, SHA)
- Malicious - выявление бэкдоров, эксплойтов и т.д
- Obfuscation - распознает различные методы обфускации, такие как: длинные названия классов/методов, необычные символы (юникод), high entropy, custom jvm (когда мэджик байты в начале класса
DE AD
)
Полная инструкция использования в README репозитория проекта (весь исходный код открыт):
Пожалуйста, авторизуйтесь для просмотра ссылки.
Ссылки:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
remapper фиксит .class файлы которые файловая система распознает как папки, чтобы их можно было декомпилировать (сканнер поддерживает сканирование такого метода обфукскации)
например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo
например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo
Опция | Описание |
path | Путь к JAR-файлу, class-файлу или директории для сканирования |
--mode | Режим обнаружения: network (сетевой), crypto (крипто функции и т.д), malicious (вредоносный код), obfuscation (обфускация) или all (всё, по умолчанию) |
--extract | Извлекает все ресурсы из JAR-файлов |
--strings | Извлекает все строки из class-файлов |
--output | Указать выходную директорию (по умолчанию: ./extracted) |
--json | Экспортировать результаты в формате JSON |
-v, --verbose | Включить подробный вывод (показывает размер/энтропию и т.д.) |
--threads | Количество потоков для параллельной обработки (0 = автоматически) |
--fast | Быстрый режим сканирования - останавливает сканирование после нахождения первого детекта |
--max-findings | Максимальное количество находок перед остановкой (по умолчанию: 50, 0 = без ограничений) |
--exclude | Исключить пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз) |
--find | Сканировать только пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз) |
--ignore_keywords_file | Путь к файлу .txt с словами, которые будет игнорировать (по одному на строку) |
Последнее редактирование: