Free CollapseScanner - Простая реверс-инженерия jar файлов

  • Автор темы Автор темы Purpl3
  • Дата начала Дата начала
Начинающий
Начинающий
Статус
Оффлайн
Регистрация
15 Окт 2021
Сообщения
156
Реакции
19
CollapseScanner
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)​

На данный момент программа может выявить:
  • Network - IPv4, IPv6, URL
  • Crypto - алгоритмы хеширования (AES, DES, RSA), хеш функции (MD5, SHA)
  • Malicious - выявление бэкдоров, эксплойтов и т.д
  • Obfuscation - распознает различные методы обфускации, такие как: длинные названия классов/методов, необычные символы (юникод), high entropy, custom jvm (когда мэджик байты в начале класса DE AD)

Полная инструкция использования в README репозитория проекта (весь исходный код открыт):
Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылки:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.


Пожалуйста, авторизуйтесь для просмотра ссылки.


remapper фиксит .class файлы которые файловая система распознает как папки, чтобы их можно было декомпилировать (сканнер поддерживает сканирование такого метода обфукскации)

например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo

ОпцияОписание
pathПуть к JAR-файлу, class-файлу или директории для сканирования
--modeРежим обнаружения: network (сетевой), crypto (крипто функции и т.д), malicious (вредоносный код), obfuscation (обфускация) или all (всё, по умолчанию)
--extractИзвлекает все ресурсы из JAR-файлов
--stringsИзвлекает все строки из class-файлов
--outputУказать выходную директорию (по умолчанию: ./extracted)
--jsonЭкспортировать результаты в формате JSON
-v, --verboseВключить подробный вывод (показывает размер/энтропию и т.д.)
--threadsКоличество потоков для параллельной обработки (0 = автоматически)
--fastБыстрый режим сканирования - останавливает сканирование после нахождения первого детекта
--max-findingsМаксимальное количество находок перед остановкой (по умолчанию: 50, 0 = без ограничений)
--excludeИсключить пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--findСканировать только пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)

--ignore_keywords_file

Путь к файлу .txt с словами, которые будет игнорировать (по одному на строку)
 
Последнее редактирование:
0.1.2:
  • Добавил аргументы
  • Улучшил визуал

Гитхаб релиз:
Пожалуйста, авторизуйтесь для просмотра ссылки.

там есть ссылки на вирустотал, и билд
 
на гитхабе только что выпустил огромную обнову по оптимизации
теперь программа использует LRU кеш, и энтропия файлов теперь более оптимизирована (используется заранее просчитанная таблица логарифмов)

бенчмарк новой версии vs старой:

старая:
читанее файла занимает 8 секунд, а сканирование ~30-40

новая:
читанее файла занимает 8 секунд, а сканирование 10

релиз:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
ток что выложил 0.2.2 версию
ссылка на релиз:
Пожалуйста, авторизуйтесь для просмотра ссылки.


изменения:
[+] теперь используется LRU кеш, буфер для сохранения временных данных (если запустить сканнер с -v то он в начале скажет всю инфу)
[~] полностью переписан скан классов, теперь он более быстрый
[~] аргументы -ignore_suspicious и --ignore_crypto изменены на --ignore_keywords
[~] изменено вычисление LOG2 и энтропии
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
1747303190226.png


Ахуенно :seemsgood:
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
добавь пж дельту или векс или катлу и никс
 
CollapseScanner
CLI сканнер для .jar | .class файлов для детекта вредоносного кода, запросов, обфускации и т.д
есть поддержка Windows и Linux (x64)​

На данный момент программа может выявить:
  • Network - IPv4, IPv6, URL
  • Crypto - алгоритмы хеширования (AES, DES, RSA), хеш функции (MD5, SHA)
  • Malicious - выявление бэкдоров, эксплойтов и т.д
  • Obfuscation - распознает различные методы обфускации, такие как: длинные названия классов/методов, необычные символы (юникод), high entropy, custom jvm (когда мэджик байты в начале класса DE AD)

Полная инструкция использования в README репозитория проекта (весь исходный код открыт):
Пожалуйста, авторизуйтесь для просмотра ссылки.

Ссылки:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.


Пожалуйста, авторизуйтесь для просмотра ссылки.


remapper фиксит .class файлы которые файловая система распознает как папки, чтобы их можно было декомпилировать (сканнер поддерживает сканирование такого метода обфукскации)

например из класса в .jar: dest4590/test.class/, он будет делать dest4590/test.class
инструкции об использовании есть в github repo

ОпцияОписание
pathПуть к JAR-файлу, class-файлу или директории для сканирования
--modeРежим обнаружения: network (сетевой), crypto (крипто функции и т.д), malicious (вредоносный код), obfuscation (обфускация) или all (всё, по умолчанию)
--extractИзвлекает все ресурсы из JAR-файлов
--stringsИзвлекает все строки из class-файлов
--outputУказать выходную директорию (по умолчанию: ./extracted)
--jsonЭкспортировать результаты в формате JSON
-v, --verboseВключить подробный вывод (показывает размер/энтропию и т.д.)
--threadsКоличество потоков для параллельной обработки (0 = автоматически)
--fastБыстрый режим сканирования - останавливает сканирование после нахождения первого детекта
--max-findingsМаксимальное количество находок перед остановкой (по умолчанию: 50, 0 = без ограничений)
--excludeИсключить пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)
--findСканировать только пути, соответствующие шаблону поиска (wildcard) (можно использовать несколько раз)

--ignore_keywords_file
Путь к файлу .txt с словами, которые будет игнорировать (по одному на строку)
гит хаб пубертат
 
Назад
Сверху Снизу