【移动安全基础篇】——21、Android脱壳思路

1. Apk dex  加固
目前存在对 apk 中的 class.dex 进行加密的技术,即加壳。通过对 dex 文件的加壳,可以达到减小文件大小,隐藏真实代码的效果。
2.  运行时解密
与 windows 上的 shell 一样,Android 加壳程序在程序运行时,先到达壳的入口点,运行解壳代码,然后再到达程序入口点,运行代码。而要脱壳则要在程序解码完毕后,到达程序真实入口点中间某个位置,把原始的 dex 代码给 dump 出来,还原到 apk 文件中。
3.  一个简单 demo
入口点改变:
壳入口:

程序入口:

壳代码中 Java 层转 jni 层

jni 层中解密 dex 数据,还原并替换为原始 Application 数据,内存中获取到原始数据后,即可直接放到原始的 apk 文件中。所关注的加密文件是 cls.jar 和 juice.data

JNI_OnLoad 函数(注册 native 函数)还原:

parse_dex 函数完成对 dex 文件的解密和还原

对 parse_dex 进行调试

程序在断点处中断

动态调试得到原始 dex 文件被解密出来的存放地址

cls.jar 文件在解密后是原始的 class.dex 文件
Dump 脚本:IDC

dex 文件在内存中的大小为

但是 dump 出来的 dex 文件打开后没有函数的真实代码

原理是程序执行之后再会对函数的真实代码进行还原openDexFile:将内存中的 dex 文件转换为 DexOrJar 结构体Dex 文件的新地址:

然后重新 dump 出文件

不过新 dump 出来的文件存在解析错误

错误原因是 dump 出的 dex 文件不包括完整数据,需要将遗漏的数据补充进来

然后计算出完整文件的大小重新 dump

最后看到 dump 出的 dex 文件能够正常打开,脱壳步骤已经完成了重新分析下对内存数据进行修正的函数

该循环中对 dex 数据进行修正 将 dump  出来的数据反编译为 smali  代码,然后将该 smali  代码替换掉程序中的原有代该码,然后删掉壳的入口点,重新编译之后该 app  成功脱壳。

 

展开阅读全文

没有更多推荐了,返回首页