Manual De-obfuscation Techniques

Reading time: 6 minutes

Manual De-obfuscation Techniques

U oblasti bezbednosti softvera, proces pretvaranja zamagljenog koda u razumljiv, poznat kao de-obfuscation, je ključan. Ovaj vodič se bavi različitim strategijama za de-obfuscation, fokusirajući se na tehnike statičke analize i prepoznavanje obrazaca obfuscation. Pored toga, uvodi vežbu za praktičnu primenu i predlaže dodatne resurse za one koji su zainteresovani za istraživanje naprednijih tema.

Strategies for Static De-obfuscation

Kada se radi sa obfuscated code, može se primeniti nekoliko strategija u zavisnosti od prirode obfuscation:

• DEX bytecode (Java): Jedan efikasan pristup uključuje identifikaciju metoda de-obfuscation aplikacije, a zatim repliciranje ovih metoda u Java datoteci. Ova datoteka se izvršava kako bi se obrnula obfuscation na ciljnim elementima.
• Java and Native Code: Druga metoda je prevođenje algoritma de-obfuscation u skriptni jezik poput Pythona. Ova strategija naglašava da primarni cilj nije potpuno razumevanje algoritma, već njegovo efikasno izvršavanje.

Identifying Obfuscation

Prepoznavanje obfuscated code je prvi korak u procesu de-obfuscation. Ključni indikatori uključuju:

• odsustvo ili premeštanje stringova u Javi i Androidu, što može sugerisati obfuscation stringova.
• prisutnost binarnih datoteka u direktorijumu resursa ili pozivi ka DexClassLoader, što ukazuje na raspakivanje koda i dinamičko učitavanje.
• Korišćenje native biblioteka zajedno sa neidentifikovanim JNI funkcijama, što ukazuje na potencijalnu obfuscation native metoda.

Dynamic Analysis in De-obfuscation

Izvršavanjem koda u kontrolisanom okruženju, dinamička analiza omogućava posmatranje kako se obfuscated code ponaša u realnom vremenu. Ova metoda je posebno efikasna u otkrivanju unutrašnjih mehanizama složenih obrazaca obfuscation koji su dizajnirani da sakriju pravu nameru koda.

Applications of Dynamic Analysis

• Runtime Decryption: Mnoge tehnike obfuscation uključuju enkripciju stringova ili kodnih segmenata koji se dekriptuju samo u vreme izvršavanja. Kroz dinamičku analizu, ovi enkriptovani elementi mogu se uhvatiti u trenutku dekripcije, otkrivajući njihov pravi oblik.
• Identifying Obfuscation Techniques: Praćenjem ponašanja aplikacije, dinamička analiza može pomoći u identifikaciji specifičnih tehnika obfuscation koje se koriste, kao što su virtualizacija koda, pakovanje ili dinamičko generisanje koda.
• Uncovering Hidden Functionality: Obfuscated code može sadržati skrivene funkcionalnosti koje nisu očigledne samo kroz statičku analizu. Dinamička analiza omogućava posmatranje svih putanja koda, uključujući one koje se izvršavaju uslovno, kako bi se otkrile takve skrivene funkcionalnosti.

Automated De-obfuscation with LLMs (Androidmeda)

Dok se prethodni delovi fokusiraju na potpuno ručne strategije, 2025. godine pojavila se nova klasa alatki pokretanih Velikim jezičkim modelima (LLM) koja može automatizovati većinu dosadnog preimenovanja i oporavka kontrolnog toka. Jedan reprezentativni projekat je Androidmeda – Python alat koji uzima decompiled Java izvore (npr. proizvedene od jadx) i vraća značajno očišćenu, komentarisanu i bezbednosno anotiranu verziju koda.

Key capabilities

• Preimenuje besmislene identifikatore generisane od ProGuard / DexGuard / DashO / Allatori / … u semantička imena.
• Otkriva i restrukturira kontrolni tok, zamenjujući neprozirne switch-case mašine stanja normalnim petljama / if-else konstrukcijama.
• Dekriptuje uobičajene obrasce enkripcije stringova kada je to moguće.
• Umeće inline komentare koji objašnjavaju svrhu složenih blokova.
• Izvodi laganu statičku bezbednosnu analizu i zapisuje nalaze u vuln_report.json sa nivoima ozbiljnosti (informativno → kritično).

Installation

git clone https://github.com/In3tinct/Androidmeda
cd Androidmeda
pip3 install -r requirements.txt

Priprema ulaza

1. Dekompajlirajte ciljni APK pomoću jadx (ili bilo kog drugog dekompilatora) i zadržite samo source direktorijum koji sadrži .java datoteke:

jadx -d input_dir/ target.apk

2. (Opcionalno) Skraćivanje input_dir/ tako da sadrži samo aplikacione pakete koje želite da analizirate – ovo značajno ubrzava obradu i troškove LLM-a.

Primeri korišćenja

Daljinski provajder (Gemini-1.5-flash):

export OPENAI_API_KEY=<your_key>
python3 androidmeda.py \
--llm_provider google \
--llm_model gemini-1.5-flash \
--source_dir input_dir/ \
--output_dir out/ \
--save_code true

Offline (local ollama backend with llama3.2):

python3 androidmeda.py \
--llm_provider ollama \
--llm_model llama3.2 \
--source_dir input_dir/ \
--output_dir out/ \
--save_code true

Izlaz

• out/vuln_report.json – JSON niz sa file, line, issue, severity.
• Ogledalo paketa sa de-obfuskiranim .java datotekama (samo ako je --save_code true).

Saveti i rešavanje problema

• Preskočena klasa ⇒ obično uzrokovana neparsiranim metodom; izolujte paket ili ažurirajte regex parsera.
• Sporo vreme izvršavanja / visoka potrošnja tokena ⇒ usmerite --source_dir na specifične aplikacione pakete umesto na celu dekompilaciju.
• Uvek ručno pregledajte izveštaj o ranjivostima – LLM halucinacije mogu dovesti do lažnih pozitivnih / negativnih rezultata.

Praktična vrednost – Studija slučaja malvera Crocodilus

Provođenje snažno obfuskiranog uzorka iz 2025. Crocodilus bankarskog trojanca kroz Androidmeda smanjilo je vreme analize sa sati na minute: alat je povratio semantiku pozivnog grafa, otkrio pozive API-ima za pristupačnost i hard-kodirane C2 URL-ove, i proizveo sažet izveštaj koji se mogao uvesti u analitičke table.

Reference i dalja literatura

• https://maddiestone.github.io/AndroidAppRE/obfuscation.html

• BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” [video]

• Ova prezentacija se bavi obrnuto inženjerstvo jedne od najkompleksnijih anti-analitičkih nativnih biblioteka koje sam video da koristi Android aplikacija. Pokriva uglavnom tehnike obfuskacije u nativnom kodu.

• REcon 2019: “The Path to the Payload: Android Edition” [video]

• Ova prezentacija diskutuje o nizu tehnika obfuskacije, isključivo u Java kodu, koje je Android botnet koristio da sakrije svoje ponašanje.

• Deobfuscating Android Apps with Androidmeda (blog post) – mobile-hacker.com

• Androidmeda izvorni kod – https://github.com/In3tinct/Androidmeda

• https://maddiestone.github.io/AndroidAppRE/obfuscation.html

• BlackHat USA 2018: “Unpacking the Packed Unpacker: Reverse Engineering an Android Anti-Analysis Library” [video]

• Ova prezentacija se bavi obrnuto inženjerstvo jedne od najkompleksnijih anti-analitičkih nativnih biblioteka koje sam video da koristi Android aplikacija. Pokriva uglavnom tehnike obfuskacije u nativnom kodu.

• REcon 2019: “The Path to the Payload: Android Edition” [video]

• Ova prezentacija diskutuje o nizu tehnika obfuskacije, isključivo u Java kodu, koje je Android botnet koristio da sakrije svoje ponašanje.