FART:ART环境下基于主动调用的自动化脱壳方案

最新推荐文章于 2024-04-07 18:53:27 发布
最新推荐文章于 2024-04-07 18:53:27 发布
阅读量307 收藏 5
点赞数 4
分类专栏: 程序员 文章标签: 自动化 性能优化 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84132204/article/details/137388600
版权

//step 3: 创建Instrumentation

mInstrumentation = new Instrumentation();

//step 4: 创建Application对象;在makeApplication函数中调用了newApplication,在该函数中又调用了app.attach(context),在attach函数中调用了Application.attachBaseContext函数

Application app = data.info.makeApplication(data.restrictedBackupMode, null);

mInitialApplication = app;

//step 5: 安装providers

List providers = data.providers;

installContentProviders(app, providers);

//step 6: 执行Application.Create回调

mInstrumentation.callApplicationOnCreate(app);

在 handleBindApplication函数中第一次进入了app的代码世界,该函数功能是启动一个application,并把系统收集的apk组件等相关信息绑定到application里,在创建完application对象后,接着调用了application的attachBaseContext方法,之后调用了application的onCreate函数。由此可以发现,app的Application类中的attachBaseContext和onCreate这两个函数是最先获取执行权进行代码执行的。这也是为什么各家的加固工具的主要逻辑都是通过替换app入口Application,并自实现这两个函数,在这两个函数中进行代码的脱壳以及执行权交付的原因。

二、APP加壳原理以及运行流程

在第一节的App启动流程中我们最终可以得出结论,app最先获得执行权限的是app中声明的Application类中的attachBaseContext和onCreate函数。因此,壳要想完成应用中加固代码的解密以及应用执行权的交付就都是在这两个函数上做文章。下面这张图大致讲了加壳应用的运行流程。

在这里插入图片描述

当壳在函数attachBaseContext和onCreate中执行完加密的dex文件的解密后,通过自定义的Classloader在内存中加载解密后的dex文件。为了解决后续应用在加载执行解密后的dex文件中的Class和Method的问题,接下来就是通过利用java的反射修复一系列的变量。其中最为重要的一个变量就是应用运行中的Classloader,只有Classloader被修正后,应用才能够正常的加载并调用dex中的类和方法,否则的话由于Classloader的双亲委派机制,最终会报ClassNotFound异常,应用崩溃退出,这是加固厂商不愿意看到的。由此可见Classloader是一个至关重要的变量,所有的应用中加载的dex文件最终都在应用的Classloader中。

因此,只要获取到加固应用最终通过反射设置后的Classloader,我们就可以通过一系列反射最终获取到当前应用所加载的解密后的内存中的Dex文件。

随着加壳技术的发展,为了对抗dex整体加固更易于内存dump来得到原始dex的问题,各加固厂商又结合hook技术,通过hook dex文件中类和方法加载执行过程中的关键流程,来实现在函数执行前才进行解密操作的指令抽取的解决方案。此时,就算是对内存中的dex整体进行了dump,但是由于其方法的最为重要的函数体中的指令被加密,导致无法对相关的函数进行脱壳。由此,Fupk3诞生了,该脱壳工具通过欺骗壳而主动调用dex中的各个函数,完成调用流程,让壳主动解密对应method的指令区域,从而完成对指令抽取型壳的脱壳。

三、现有ART环境下自动化脱壳工具及优缺点

针对虚拟机运行过程中类的加载执行流程进行修改从而完成脱壳的集大成者算是dexhunter。dexhunter分别实现了dalvik和art环境下的加固app的脱壳。然而,当前针对dexhunter的脱壳原理来对抗dexhunter的技术也不断被应用,比如添加无效类并在这些类的初始化函数加入强制退出相关的代码以及检测dexhunter的配置文件等。其次,当前ART环境下的脱壳技术还有基于dex2oat编译生成oat过程的内存中的dex的dump技术,该方法依然是整体型dump,无法应对指令抽取型加固,同时,当前一些壳对于动态加载dex的流程进行了hook,这些dex也不会走dex2oat流程;以及基于dex加载过程中内存中的DexFile结构体的dump技术。例如,在ART下通过hook OpenMem函数来实现在壳进行加载DexFile时对内存中的dex的dump的脱壳技术,以及在2017年的DEF CON 25 黑客大会中,Avi Bashan 和 SlavaMakkaveev 提出的通过修改DexFile的构造函数DexFile::DexFile(),以及OpenAndReadMagic()函数来实现对加壳应用的内存中的dex的dump来脱壳技术。上面这些脱壳技术均

最低0.47元/天 解锁文章
2401_84132204
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FartRepair:fart修复脚本
05-08
FartRepair依赖于寒冰师傅的FART的针对函数抽取壳的修复脚本使用方法python repair.py -d <dumpdexfile> -i <insfile> (-m <method> | -a)-d参数后跟FART dump下来的dex-i参数后跟FART 主动执行产生的bin文件-m参数...
函数抽取脱壳工具 fart代码阅读
flygle~的博客
05-10 934
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发壳的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用
FART脱壳机制作
nini_boom的博客
11-25 7760
几乎所有在APP应用平台的软件,都有壳,若想进一步逆向,查看APP的代码、加解密函数、或者逆向协议,第一步都是要脱壳脱壳的重要性不言而喻。 FBI Warnning 感谢寒冰、r0ysue大佬,大佬们的gayhub和个人主页在片尾。 原材料 谷歌亲儿子手机一部,pixel或者nexus任何版本都阔以,系统Android8.10 寒冰巨佬的fart文章,深入理解脱壳原理 r0ysue姐编译好的fart rom镜像,请放心食用。 过程 首先根据手机下载对应的rom包。 链接:https://pan.b.
LineageOS20+Pixel6 下的Fart8.0脱壳机迁移和编译流程
lvlay79的博客
09-06 3592
​ 之前将Fart8.0的代码编译到Android13下,运行发现在将Java的Method对象转换成C的ArtMethod对象时报错,没找到原因。再加上AOSP的系统太素了,就琢磨是否可以用LineageOS来编译,所以就有了这篇文章。
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 1806
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
FART_8.0 源码
03-19
【标题】"FART_8.0 源码"涉及的是一个针对Android系统的脱壳工具FART的源代码版本,这里的"8.0"可能指的是该工具适配的Android系统版本或者是版本号。FART(Fast Android Resource Tool)通常用于Android应用的逆向...
安卓逆向学习笔记之FART主动调用组件设计和源码分析.docx
03-29
安卓逆向学习笔记之FART主动调用组件设计和源码分析.docx
kugimiya-rainbow-fart:傲娇钉钉宫,鞭写鞭骂-钉宫理惠vscode-rainbow-fart扩展语音包
03-18
预览语音文件: 语音台词对照: 关键词语音列表: 安装在vscode-rainbow-fart(v1.2.3)中约会语音包是需要打包成zip然后引用的,本项目已经提供了打包好的文件,可以直接在中下载最新版zip; (或者作为开发者从...
coc-rainbow-fart::rainbow: rainbow-fart for (neo)vim 一个在你编程时疯狂称赞你的 coc.nvim 扩展插件 | An coc.nvim extension that keeps giving you compliment while you are coding, it will checks the keywords of code to play suitable sounds
04-14
rainbow-fart.locale :启用语音包的语言环境,默认值: ["zh"] rainbow-fart.ffplay : rainbow-fart.ffplay命令,默认值: '' 如果为空,将从下载ffplay。 rainbow-fart.voice-packages :添加您自己的语音包,...
360加固保-半自动脱壳工具
02-04
1、通过模拟器或手机端将360加固的apk文件进行半自动脱壳,方便研究学习作者的源码 2、内有详细说明 3、内有自动化的批处理,运行它就可以了 4、运行界面如下: D:\apktools\drizzleDumper>1drizzleDumper * daemon not running. starting it now on port 5037 * * daemon started successfully * 320 KB/s (9532 bytes in 0.029s) "请在模拟器中运行目标应用..." WARNING: linker: /data/local/tmp/drizzleDumperX86 has text relocations. This is wasting memory and is a security risk. Please fix. [>>>] This is drizzleDumper [<<>>] code by Drizzle [<<>>] 2016.05 [<<<] [*] The wait_times is 3s [*] Try to Find com.newapptest
自动脱壳工具drizzleDumper
01-29
一款自动脱壳的工具 使用前提: 手机需要root 使用步骤: 1. 安装加固的包, 2. adb push xxx\drizzleDumper /data/local/tmp 3. adb shell 4. chmod 777 /data/local/tmp/drizzleDumper 5. data/local/tmp/drizzleDumper [包名] [秒数] 例:data/local/tmp/drizzleDumper com.example.modifyso 5 详细步骤可查看压缩包里面的使用说明
fart
03-08
FARTART环境下基于主动调用自动化脱壳方案,android原始修改公开,基于android-9.0.0_r36 app-release.apk是原apk app-release_jiami.apk是加密后的apk ArtTest.zip是apk的源代码 framework_patch.txt,...
intellij-rainbow-fart:vs一个在你编程时持续夸大你写的牛逼的扩展,可以根据代码关键字播放贴近代码意义的真人语音。
03-19
:rainbow:彩虹彩虹饭店语言:|英语下载描述IntelliJ Rainbow Fart是一个扩展,可以在编码时不断为您提供称赞。它将检查代码中的关键字以播放相关声音。 Rainbow Fart是中文的字面翻译词,这意味着给别人夸张的夸奖,...
emacs-rainbow-fart:一个在你编程时持续夸大你写的牛逼的扩展,可以根据代码关键字播放贴近代码意义的真人语音。源自vscode-rainbow-fart
02-05
原版的vscode-rainbow-fart为VSCode用户提供了类似的功能,增强了编程的乐趣,但它是基于JavaScript和TypeScript编写的,与Emacs环境下的emacs-rainbow-fart有所不同。 **emacs-rainbow-fart的实现** emacs-...
FART脱壳机的使用与进阶(1)_FART的安装与使用(pixel为例)
HURUWO的技术博客
08-18 4161
FART是什么 ART环境下基于主动调用自动化脱壳方案。 https://github.com/hanbinglengyue/FART FART的测试强度 实战中,可以应对大多数的抽取型函数壳。也就是市面上大量的商业厂商使用的加密方式。 包括梆梆/百度/腾讯/360等多个加密厂商提供的加密壳。 可以做到不仅能正确dump出dex文件,同时也可以修复大部分的核心函数。 亲测一些比较知名的apk加固之后可以正确的dump下来。当然并不是完美的,但是基于FART的思想可以改进,做到更加全面的脱壳工具。 FART
FART彻底搞定函数抽取型壳
u014753748的博客
09-24 9033
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
FARTART环境下基于主动调用自动化脱壳方案,架构师必备技能
最新发布
2401_84152232的博客
04-07 1096
/step 3: 创建Instrumentation//step 4: 创建Application对象;在makeApplication函数中调用了newApplication,在该函数中又调用了app.attach(context),在attach函数中调用了Application.attachBaseContext函数//step 5: 安装providers//step 6: 执行Application.Create回调。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值