« Hookons » avec JavaSnoop !

Magazine
Marque
MISC
Numéro
77
Mois de parution
janvier 2015
Domaines


Résumé
L’auditeur le plus motivé peut se retrouver désappointé lors de l’audit d’une application client-lourd développée en Java. On décompile et on regarde le code source ? Pourquoi se donner tant de mal ? Cet article présente le logiciel JavaSnoop, qui facilite l’audit d’applications Java en permettant d’intercepter et de modifier à la volée les appels aux méthodes Java, puis nous conclurons par un cas pratique d’utilisation.

1. Du besoin d'instrumentation

L'instrumentation consiste en l'analyse, en temps réel, des différents composants d'un système. Dans le cas de Java, l'instrumentation permet l'accès aux différentes classes durant l'exécution d'un programme. Souvent utilisée à des fins d'analyse de la performance (par exemple pour vérifier le temps d'exécution de certaines opérations afin d'identifier les goulots d'étranglement), l'instrumentation a également un intérêt dans l'analyse sécurité. En effet, instrumenter va nous permettre d'injecter du byte-code dans les différentes méthodes Java, permettant ainsi d'accéder à l'ensemble des variables internes, mais également de modifier le comportement du programme.

Mais pourquoi instrumenter Java ? Java nous permet déjà, relativement facilement, de décompiler un bytecode pour en retrouver un code source exploitable, sur lequel on pourrait réaliser une analyse statique pour en comprendre le fonctionnement. Néanmoins, ce...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Programmation avec le 6502 : les sprites de la NES, ou comment coder le jeu Pac-Man

Magazine
Marque
Hackable
Numéro
36
Mois de parution
janvier 2021
Domaines
Résumé

Dans le précédent article, nous avons commencé à nous familiariser avec la partie graphique de la console NES (Nintendo Entertainment System). Aujourd’hui, nous allons réaliser un véritable jeu, ou du moins nous allons suffisamment le débuter pour qu’il commence à être intéressant.

Analyse de code avec Cppcheck (et intégration sous Eclipse)

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
112
Mois de parution
janvier 2021
Domaines
Résumé

Zut ! Encore un plantage !!! Combien de fois n’avez vous pas prononcé cette phrase, face au blocage d’une application de bureautique bien connue ou face à un crash système ? Sur un ordinateur de bureau, ce type de désagrément n’a d’autre effet que de faire monter votre niveau d’énervement, mais dans le cas d’un système embarqué, les effets sont bien plus graves. Heureusement, Cppcheck est là pour vous aider.

Réinvention de la roue... des temporisations

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
112
Mois de parution
janvier 2021
Domaines
Résumé

Les temporisations sont essentielles au sein des systèmes d'exploitation et dans certaines applications, pour déclencher des actions à l'échéance d'un délai. Il existe différents algorithmes pour les gérer de manière efficace. Cet article présente la fusion de deux d'entre eux, pour en tirer le meilleur.