如何拦截程序创建的临时文件？[复制]

更好的是，如果您想对恶意 Java 二进制文件进行逆向工程，而不是尝试拦截文件，请反编译可疑.jar文件。

为此，您可以使用CFR - 另一个 java 反编译器

CFR 将反编译现代 Java 功能 - 包括 Java 9 的大部分内容，但完全用 Java 6 编写，因此可以在任何地方工作

要使用，只需运行特定版本的 jar，使用要反编译的类名（作为类文件的路径，或作为类路径上的完全限定类名）。（--help 列出参数）。

或者，要反编译整个 jar，只需提供 jar 路径，如果你想发出文件（你可能会这样做！）添加 --outputdir /tmp/putithere

不乏替代品，但 CFR 项目似乎维护得很好，有 2018 年的更新。

免责声明：自 2005 年以来，我没有对 Java/JAR 二进制文件进行逆向工程

注意：在重复问题上发布了改进的解决方案

从阅读如何在创建后直接访问临时文件？我有了使用inotify和创建硬链接到文件本身的想法。这当然是一种竞争条件，因为在创建硬链接之前可以取消链接文件，但是我确实设法恢复了应用程序正在创建的临时文件中的数据。这是一个短管道放在终端选项卡 A 中，终端选项卡 B 运行实际命令：

inotifywait -m -r /tmp/hsperfdata_xie/ 2>&1 | 
while IFS= read -r line; do 

    awk '$2 == "CREATE"{system("ln /tmp/hsperfdata_xie/"$3" /tmp/BACKUP")}' <<< "$line"
    echo "$line" # unnecessary, only if you want to know what's inotify is writing
done

3个缺点是：

• 比赛条件（上面解释过）
• awk我很快就为一个特定的文件拼凑起来；但是解析输出并将路径名与文件名连接起来的更通用和灵活的awk命令将不得不花费一些时间来解析行，将所有内容传递给变量，然后传递给，这可能会回到上一个要点 - 到时间解析完成，没有要链接的文件。inotifywatch$1$3sprintf()system()
• 需要两个终端选项卡，尽管可以将整个管道置于后台。更聪明的方法是拥有一个带有分叉子进程的完整 Python 脚本并实际使用inotifyPython 模块（这可能是我将来会做的事情）。

至于有问题的文件，它显示为某种形式的二进制数据，带有循环 0...sun.rt._sync_Inflations和0...sun.rt._sync_Deflations字符串（可能与Java 多线程有关）。但就这个问题而言，这是无关紧要的——我们已经有了。我唯一想要的是获取文件本身。