Início / unix / Perguntas / 468109
Accepted
Sergiy Kolodyazhnyy
Asked: 2018-09-11 12:45:53 +0800 CST

Como interceptar arquivos temporários criados por um programa? [duplicado]

  • 772

TL;DR : Eu sei que um programa cria e exclui arquivos em /tmp. Como posso interceptá-los para exame?

Contexto :

Há um .jararquivo específico, no qual não confio; por algum motivo, seu código-fonte contém um método ftm e tem capacidade para fazer conexões, o que é evidente em syscalls relacionadas à rede na saída de strace(e quando quero dizer conexão, não quero dizer soquetes de domínio unix, é AF_INET6). Eu examinei com o Wireshark e não vi conexões TCP ou UDP de saída durante o uso.

No entanto, ainda não confio muito nele. A partir da saída de straceeu vi que está criando arquivos temporários /tmpe depois os exclui. Existe uma maneira de interceptar esses arquivos para examinar seu conteúdo?

security files

2 respostas

  1. Best Answer

    Melhor ainda, se você quiser fazer engenharia reversa de um binário Java nefasto, em vez de tentar interceptar arquivos, descompile o .jararquivo suspeito.

    Para isso, você pode usar o CFR - outro descompilador java

    O CFR descompilará recursos Java modernos - até e incluindo grande parte do Java 9, mas é escrito inteiramente em Java 6, portanto, funcionará em qualquer lugar

    Para usar, basta executar o jar da versão específica, com o(s) nome(s) de classe que você deseja descompilar (como um caminho para um arquivo de classe ou como um nome de classe totalmente qualificado em seu caminho de classe). (--help para listar argumentos).

    Como alternativa, para descompilar um jar inteiro, basta fornecer o caminho do jar e, se você quiser emitir arquivos (o que provavelmente você faz!), adicione --outputdir /tmp/putithere

    Não faltam alternativas, porém o projeto CFR parece estar bem conservado, tendo uma atualização de 2018.

    Isenção de responsabilidade: eu não fiz engenharia reversa para binários Java/JAR desde 2005

    • 6

  2. Nota : solução aprimorada postada na pergunta duplicada

    Da leitura Como acessar o arquivo temporário logo após a criação? Eu tive a ideia de usar inotifye criar um link físico para o próprio arquivo. Obviamente, isso é uma condição de corrida, pois o arquivo pode ser desvinculado antes que o link físico seja criado, no entanto, consegui recuperar os dados no arquivo temporário que o aplicativo está criando. Aqui está um pequeno pipeline reunido na guia do terminal A, com a guia do terminal B executando o comando real:

    inotifywait -m -r /tmp/hsperfdata_xie/ 2>&1 | 
while IFS= read -r line; do 

    awk '$2 == "CREATE"{system("ln /tmp/hsperfdata_xie/"$3" /tmp/BACKUP")}' <<< "$line"
    echo "$line" # unnecessary, only if you want to know what's inotify is writing
done

    As 3 desvantagens são:

    • condição de corrida (explicada acima)
    • Eu montei awkmuito rapidamente para um arquivo específico; mas um comando mais geral e flexível awkque analisa inotifywatcha saída e une nomes de caminho $1com nomes de arquivos $3teria que levar um pouco de tempo para analisar as linhas, sprintf()tudo para variável e passar para system(), o que pode voltar ao ponto de marcador anterior - no momento da análise é feito, não há nenhum arquivo para vincular.
    • requer duas guias de terminal, embora seja possível colocar todo o pipeline em segundo plano. Uma maneira mais inteligente seria ter um script Python completo com subprocessos bifurcados e realmente usar inotifymódulos Python (o que talvez seja algo que farei no futuro).

    Quanto ao arquivo em questão, ele aparece como alguma forma de dados binários, com recorrentes 0...sun.rt._sync_Inflationse 0...sun.rt._sync_Deflationsstrings (que podem estar relacionadas ao Java multithreading ). Mas para o propósito desta pergunta, é irrelevante - já temos. A única coisa que eu queria era obter o próprio arquivo.

    • 1

relate perguntas