加固与脱壳05 - 壳类型识别

已于 2024-10-09 12:12:07 修改
阅读量865 收藏 16
点赞数 9
分类专栏: 加固与脱壳 文章标签: 网络安全 安全 网络 开发语言 前端
于 2024-10-09 12:07:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/142783452
版权

​以前一些老旧的技术就不介绍了,比如,动态加载、内存不落地加载的方式。

现在的加壳类型分为3种:

  • 指令抽取

  • VMP

  • dexc2c

  • https://www.dingxiang-inc.com/blog/post/2

指令抽取

android的指令抽取,主要在于函数基本的抽取保护。通过使用android虚拟机自带的解释器进行执行代码。将原始App中dex文件的函数内容进行清除,并将单独移动到一个加密文件中,在App运行的时候,再将函数内容重新恢复到对应的函数体。

这一指令抽取技术的不足之处在于:

  1. 使用大量的虚拟机内部结构,会出现兼容性问题;

  2. 使用android虚拟机进行函数内容的执行,无法对抗自定义虚拟机;

  3. 它跟虚拟机的JIT优化出现冲突,达不到最佳的性能表现。

VMP

VMP加固的核心原理是基于 Dalvik 的解释器实现自己定义的指令。

比如要对 MainActivity onCreate 进行 VMP 加壳保护, 从实现过程讲要解决两个关键问题:

  1. 让系统执行 onCreate 时,进入到加固壳代码执行;

  2. 壳代码得到运行时机后,如何解释原来的 onCreate。

其实现为更改 onCreate 的方法体为下面的方式:

VLibrary.v1 调用就会进入到自己的虚拟机里面去执行。

或者下面的方式:

DEX2C

它与 VMP 表现比较类似,有一个开源项目 DCC 可以看看:

  • https://github.com/amimo/dcc

其加固过的 DEX 反编译如下,与 vmp 差不多:

混合加固

有时候我们反编译一个APP后,发现很多指令都是 nop 指令,那么这就是一个很明显的指令抽取型加壳。进行脱壳之后,发现函数体仍然看不见,是一个 native 的,那么就是用了混合加固。这个时候就需要去分析 so 里面的逻辑了。

壳类型区分

由于 dex2c 与 vmp 在dex里面看起来一样,那么怎么区分呢?

有一个很简单的方法,就是看native函数的注册地址是否相同。由于dex2c是静态注册的,那么它的方法注册地址肯定都是不一样的,而且其方法逻辑也是不一样的。

dex2c 是用 jni 重写了 java 层逻辑,反编译效果看起来如下:

可以看到里面有很多的 jni 调用。如果没有加 ollvm 的话,实际上阅读起来与 smail 差不多。

而对于 vmp 来说,dex 中的 native 方法都是对应的同一个,所以它只有一个注册地址。上面说到 vmp 有两种表现,其中一种表现在 dex 层,就是 dex 层逻辑非常类似,都是通过某个方法调用到 native 层的虚拟机。另外一种,也是差不多的。

所以,看native方法对应的注册地址与方法逻辑是否类似,也可判断是 vmp 函数 dex2c。

关注我的微信公众号:二手的程序员,获取最新文章。

二手的程序员
关注
专栏目录
DIE,应用程序查工具
12-23
- 加壳脱壳加壳是将程序包裹在原程序周围,脱壳则是将去掉,暴露原程序的内部结构。 2. **DIE的功能特性** - 文件分析:DIE能快速扫描并识别各种类型,包括但不限于UPX、ASProtect、VMProtect、...
【Android 逆向】加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
zhangmiaoping23的专栏
09-22 2064
加壳技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析其 DEX 文件 , 需要先 识别出该 APK 是使用的什么技术进行的加壳 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可;每个加壳的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的一种加壳技术 , 也有可能使用 3 33 者中的多种加壳技术 , 进行混合加壳;函数抽取特征 : 获取到加壳后的 DEX 文件 , 其函数体是无效的;
软件保护技术:加壳脱壳
Reveone的博客
08-29 4639
以UPX为例对加壳原理进行粗浅的分析,以及对UPX加壳后的程序进行手工脱壳实操
360加固保的dex脱壳方法
热门推荐
Fly20141201. 的专栏
11-13 1万+
360整体加固classes.dex后的apk程序的特点,以超信1.1.4版本为例。360加固以后,会在apk的assets文件的路径下增加两个文件libjiagu.so和libjiagu_x86.so以及修改原apk的AndroidManifest.xml文件的application标签增加两个元素。 360加固脱壳需要完成两个任务,一个任务是过掉3
Android中的Apk的加固(加壳)原理解析和实现
05-11
- **加密工具**: 用于对源APK进行加密,并将加密后的APK与程序APK的Dex文件合并成一个新的Dex文件。 **2. 主要步骤** - **源APK加密**: 使用加密算法对源APK进行加密处理。 - **程序Dex文件合并**: 将加密后的...
BlackDex v3.2.0安卓应用脱壳.zip
08-29
- **更新与修复**:开发者可能会不断更新加固技术以防止脱壳,因此BlackDex也需要定期更新以应对新的防护措施。 在"BlackDex v3.2.0安卓应用脱壳.txt"文件中,通常会包含使用BlackDex的详细教程、注意事项以及可能...
安卓逆向学习笔记之FART中的脱壳点.docx
最新发布
03-25
脱壳点是指在逆向过程中能够有效地定位到代码的位置,并从中获取原始代码的入口点。对于FART而言,脱壳点的选择至关重要,因为它直接影响到脱壳的效率和成功率。 #### 四、脱壳点选择 根据文档提供的部分内容,...
加固脱壳详解
lg_1996的博客
09-04 1594
1.加固 apk是整个项目的源码和资源的结合体,对于懂点反编译原理的人可以轻松编译出apk的源码资源,并且可以修改资源代码、重新打包编译,轻轻松松变成自己的apk或者修改其中一部分窃取用户信息。所以,apk加固作用就是防止反编译此时显得尤为重要。 2.脱壳 虽然apk加固让软件的安全性更高了,但并不是无懈可击(一般加固的也很容易被脱壳获取源代码,比如360助手加固)。所以一些反加固脱壳技术应运而生,经过加固的apk,反编译是无法直接获取到源码的,但是可以通过对a...
(九)关于 加固脱壳简单介绍
@dongyu的博客
08-03 1534
什么是? 自然界中的,保护内部组织 1. 计算机软件中的是什么? 在一些计算机软件里,有一段专门负责保护软件不被非法修改或者反编译的程序,一般会先于程序运行,拿到控制权,保护软件。 原始代码在加壳的过程中,可能被压缩、加密、隐藏等等,根据加壳的过程,一般有加密、压缩、伪装、多层。所有的意图都是隐藏程序正在的代码和执行入口。 在程序中,给一些软件加上这种,被称为 加固。 例如: Android studio本身将源代码打包成apk就已经是一种压缩了,而我们用的一些普通的 d2xjar ,.
各种语言入口特征笔记
weixin_30375247的博客
09-29 434
认识各语言的入口特征及加壳后的识别判断,及加密与压缩识别 C++ 00408027 >/$ 55 push ebp 00408028 |. 8BEC mov ebp,esp 0040802A |. 6A FF push -0x1 0040802C |. 68 F0F14000 ...
分析加壳--加壳程序如何工作及如何识别
dfwjtabcd的博客
01-27 1735
分析加壳--加壳程序如何工作及如何识别 前文   加壳可执行程序文件的两个主要的目的是缩小程序的大小,保护对加壳程序的探测与分析。虽然加壳器的种类众多,但是它们遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件,被转换的可执行文件将在这个新的可执行文件中作为数据存储,另外新的可执行文件还包括一个供操作系统调用的脱壳存根(stub)。下面首先以加壳程序如何工作及如何识别开始。 一、分析加壳 ...
一二三代加壳技术分类识别
Qiled的博客
12-01 3805
文章目录1. 动态加载什么是动态加载? 为什么要动态加载?2. ClassLoader修正解决手段1:反射替换成DexClassLoader解决手段2:插入DexClassLoader3. 史第一代 Dex加密第二代 Dex抽取与So加固第三代 Dex动态解密与So混淆第四代 arm vmp(未来)4.用加固厂商特征:5. 加壳技术发展Dex的加固技术发展so加固的种类6. 加壳技术的识别函数抽取VMPDex2C如何快速区分apk所采用的保护技术?如何区分VMP和Dex2C?7. 各种的解决方案
常见语言反汇编入口代码
阿特图
04-01 6696
//原文来自小生我怕怕破解视频      认识各语言的入口特征及加壳后的识别判断,及加密与压缩识别 C++ 00408027 >/$  55             push ebp 00408028  |.  8BEC           mov ebp,esp 0040802A  |.  6A FF          push -0x1 0040802C  |.  68
Android加固脱壳学习之加固初步总结(1)
jmp esp
11-13 890
加固思想类比PE的加壳加固思想,通过一段引导代码,即通过代码来解密,而源dex被加密后存储在一起的做法来进行加壳加固方案1加固 http://blog.csdn.net/androidsecurity/article/details/8678399 实现 http://blog.csdn.net/androidsecurity/article/details/8809542 这种方案不
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8539
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二手的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值