Paweł Goleń, blog

Narzędzie: JavaSnoop

Czasami jest tak, że nowe narzędzie pojawia się dokładnie wtedy, gdy jest potrzebne. Tak było z JavaSnoop. Miałem okazję przetestowania narzędzia w praktyce i odczucia mam nieco mieszane.

Moje mieszane odczucia biorą się chyba głównie z tego, że narzędzie zadziałało nie do końca tak, jak się tego spodziewałem. Być może po prostu trafiłem na błąd, w końcu narzędzie jest bardzo młode. Ogólnie jednak jego koncepcja bardzo mi się podoba.

Nie będę opisywał wszystkich funkcji tego narzędzia, skupię się na tym, do czego potrzebowałem go użyć. JavaSnoop pozwala między innymi na ustawienie tak zwanych function hooks. Można wybrać interesującą nas klasę i jej metodę i w przypadku jej wywołania coś się stanie. Tym czymś może być:

wypisanie parametrów wywołania funkcji oraz, opcjonalnie, stosu wywołań,
uruchomienie skryptu, czyli fragmentu kodu Java,
modyfikację parametrów wejściowych,
modyfikację wartości zwracanej,
zatrzymanie programu,

Do moich potrzeb najlepiej pasowała modyfikacja parametrów zwracanych przez funkcję, ale... nie działała. Co prawda wywołanie funkcji było zauważane, pojawiał się dialog pozwalający na modyfikację zwracanej wartości, ale program dalej wykonywał się tak, jakby tej modyfikacji nie było. Sporo czasu straciłem próbując dojść do tego, w którym miejscu popełniam błąd. Bezskutecznie.

Gdy już byłem bliski poddania się, postanowiłem spróbować problem rozwiązać w nieco inny sposób. W zasadzie tym, czego potrzebowałem, była modyfikacja wartości zwracanej przez jedną z funkcji. Chciałem, by funkcja ta zawsze zwracała jedną, konkretną wartość. Postanowiłem więc skorzystać z innej dostępnej opcji, czyli uruchomienia skryptu i... zadziałało. Skrypt był bardzo skomplikowany, wyglądał dokładnie tak:

return true;

Funkcją, której mi w tym narzędziu brakuje (a przynajmniej ja jej nie zauważyłem) jest możliwość uruchomienia badanego programu w stanie zatrzymanym. Obecnie wygląda to tak, że uruchamia się badany program i wykonuje się on równolegle ze "startem środowiska" JavaSnoop. W tym czasie badany program wykonuje się "swobodnie", co nie zawsze jest pożądane, nie można mieć wpływu na inicjację badanego programu, a czasem byłoby to przydatne. Na przykład po to, by przechwycić funkcje, które służą do odczytu szyfrowanych/obfuskowanych plików konfiguracyjnych.

Narzędzie JavaSnoop może przydać się każdemu, kto będzie musiał zmierzyć się z analizą programu napisanego w języku Java (gruby klient, applet). Warto śledzić jego rozwój. Swoją drogą z przyjemnością powitałbym analogiczne narzędzie przeznaczone dla platformy .NET.

Następny wpis: Siedmiu krasnoludków
Poprzedni wpis: Dlaczego przykład przestał działać

Ślady

Brak Śladów

Komentarze

Brak komentarzy

Dodaj komentarz

Najnowsze wpisy

Jak powstaje elektrozłom: Sunday, 21 July 2024
Cluster: Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...: Sunday, 30 June 2024
Po lewej stronie drogi: Sunday, 19 May 2024
Nie lubię, gdy jest płasko: Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki: Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz: Sunday, 14 January 2024
Z microk8s na k3s: Wednesday, 8 November 2023
Rajesh Penetrator: Saturday, 2 September 2023
random(random()): Tuesday, 1 August 2023

Losowe wpisy

Wireless...: Tuesday, 13 June 2006
APSB09-07 czyli kolejna poprawka dla Adobe Reader: Tuesday, 16 June 2009
httpOnly już nie tylko w IE: Wednesday, 6 February 2008
2FA czasem zawodzi: Monday, 30 December 2019
Monitorowanie zmian plików w Windows: Sunday, 5 April 2009
Tia....: Sunday, 20 May 2007
Jak teraz działa mój IPSec: Wednesday, 8 November 2006
Altoro Mutual: oczywiste oczywistości (na początek): Friday, 16 September 2016
Burp-like Inspector: Friday, 16 January 2015
Jak o(d)głupić nmap: Saturday, 4 July 2009

Paweł Goleń, blog

Zrzędzenie starego zgreda