【原创】简单尝试脱“爱加密”官网加固的DEX壳

转载 2017年01月03日 23:55:33

转:http://bbs.pediy.com/showthread.php?p=1459603#post1459603

 

0x00 序
第一次尝试脱dex壳,样本是在“爱加密”官网上免费加固的,非商业版。

 

本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。

0x01 加固包和原包对比

 

加固后的classes.dex文件变大了,脱到JEB里面发现多了一些壳代码和一些垃圾类(jpvbhn、cioub、flsye…)。

原包中,很多类方法的指令被抽空了,如下面的onCreate。

将assets目录下的libexec.so脱到IDA中,发现个别方法被加密,并且用了o-llvm进行混淆编译。导出表中的那些x、y开头的变量就是o-llvm在编译过程中,添加混淆控制流(-bcf)时创建的。

ptrace注入,从内存中dump出来一个libexec.so,看一下字符串表:

在字符串表中看到一些关键词(dvmResolveClass.c、HOOK:%s() write dex!),
瞎猜爱加密可能是抽取dex中的方法指令,然后hook dalvik/art 关键函数,在
运行时加载该类时再解密指令。所以用DexHunter试一下。
https://github.com/zyq8709/DexHunter
ps:从字符串表也可以看到,爱加密为了“防模拟器”,
判断了好多系统属性(ro.product.model、ro.product.device…)。

0x02:利用DexHunter还原dex
DexHunter的大致原理是在某dex的第一个类被加载时,遍历该dex文件的所有的class_def_item,
主动加载所有的class(调用dvmDefineClass),并初始化(调用dvmIsClassInitialized和dvmInitClass),
让壳自己完成方法指令的解密,然后再做必要修复并dump。
编译带DexHunter的dalvik,刷机之后试了一下,在脱壳过程中apk进程死了。

爱加密有点意思,应该是在libexec.so或libexecmain.so被加载之后,
在native代码中判断了“/data/”目录下是否存在dexname文件
(这也算DexHunter的一个特征),如果有则自退。
修改DexHunter源码,把dexname这个文件名改掉:

再试一次,还是挂了,这次貌似是调用com.cioub类的clinit方法导致的。

看一下com.cioub类的clinit方法的实现就明白了,上面提到的那些垃圾类(jpvbhn、cioub、flsye…),
都是爱加密为了“防DexHunter”添加的。

先用笨方法解决一下,通过一个名单文件,将这些“防DexHunter”类pass掉。

再试一次,脱出了whole.dex,这实际是一个odex文件,利用baksmali和smali将其转换为dex文件,
拖到JEB中看一下:

之前被抽空的onCreate方法成功还原了,去掉那些垃圾类和shell代码应该就差不多了。

0x03 后序
1、使用DexHunter脱完之后,如果还有方法没有还原,
那加固厂商可能做了函数级加解密,
在方法调用时再解密方法指令。
2、定位native方法指令在内存中的位置

这3个native方法是爱加密加固之后的3个核心方法,但libexec.so的JNI_Onload貌似加密了,
并且导出函数的名字也混淆了(采用RegisterNative动态注册),找出对应的native函数有点费劲。
可以在dvmCallJNIMethod函数中加点log,其实这个函数中本来有log,只不过注掉了。放开的时候,
要进行一下过滤,否则打出的日志太多会淹没其它有用的信息。


3、爱加密应该已经有解释器壳了,猜测爱加密商业版以后可能会是“类抽取+解释器壳”的形式,
因为所有指令都解释执行的话,应该会对效率影响较大,所以二者结合是个不错的选择。 


相关文章推荐

Apk脱壳圣战之---脱掉“爱加密”的壳

今天是端午节,然而小编不能吃粽子了,只能继续破解之路,今天我们来看一下在了解了破解三部曲之后,如何开始脱掉各个市场中的apk壳,关于破解三部曲在之前已经介绍了:第一篇:Android中使用Eclips...

Android常见App加固厂商脱壳方法的整理

目录 简述(脱壳前学习的知识、壳的历史、脱壳方法) 第一代壳 第二代壳 第三代壳 第N代壳 简述 Apk文件结构 Dex文件结构 壳史 壳的识别 Apk文...

爱加密Android APk 原理解析

转载请标明出处:http://blog.csdn.net/u011546655/article/details/45921025 爱加密Android APK加壳原理解析 一、什么是加...

Android脱壳圣战之---如何脱掉"爱加密"家的保护壳

转:http://mp.weixin.qq.com/s?__biz=MzIzNDA3MDgwNA==&mid=2649229983&idx=1&sn=de2bd1a408d74e102ecd13a05...

“爱加密” 动态脱壳法

转:http://www.cnblogs.com/2014asm/p/4112116.html 测试环境为: 安卓2.3 IDA6.6 下面看具体操作步骤: 具体怎样用IDA动态调试我就不多说了,网...

爱加密和梆梆加固的破解方法

总结的比较重要命令 cat /proc/pid/cmdline      查看命令行 cat /proc/pid/status       查看TracerPid. ls /proc/pid/task...

android加固系列—6.仿爱加密等第三方加固平台之动态加载dex防止apk被反编译

此方案的目的是隐藏源码防止直接性的反编译查看源码,原理是加密编译好的最终源码文件(dex),然后在一个新项目中用新项目的application启动来解密原项目代码并加载到内存中,然后再把当前进程替换为...

第一个SpringBoot应用-HelloWorld【原创翻译-翻译自官网用户指南】

用java开发一个简单的“hello world”web应用程序来展示Spring Boot的特点

【原创】IDA调试dex代码初体验

IDA 6.6新添加了对dex文件的调试支持,由于工作原因,我第一时间拿到了这个版本,下面就是针对这个功能的一些简单体验。 IDA对这个新功能提供了一个PDF文档进行说明,按照教程一步步来就可以完成...

apk加固原理之dex加密

apk加固原理之dex加密 原理其实不复杂,加固其实就是加密dex文件,防止dex专程jar 被阅读。后面才是热部署解密dex; 代码如下,注释有解释: import android.os.En...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【原创】简单尝试脱“爱加密”官网加固的DEX壳
举报原因:
原因补充:

(最多只允许输入30个字)