android 一代壳的脱取方式及原理分析

最新推荐文章于 2024-04-25 10:06:32 发布
最新推荐文章于 2024-04-25 10:06:32 发布
阅读量793 收藏
点赞数
分类专栏: android逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/esabeny/article/details/113107679
版权

何为1代壳

1代壳dex文件加载时落地
2代壳dex文件加载时不落地

解决方式,内存dump即可

1.先上两个基于frida 脱壳的工具

葫芦娃的dexDump
yang大佬的dump_dex

2.这两种有什么区别呢

hluwa的是基于加载后的dex文件解析的
yang的是app在启动时,找到的hook点去脱壳的

3.hluwa dexDump原理分析,执行顺序

1.找到内存里有 “64 65 78 0a 30 ?? ?? 00"的文件
2.循环遍历,再验证这个dex是不是我们的dex文件
3.验证的过程有
1.dex文件头大小 >= 60;一般来说是70
2.读取前4个字节是否是"dex\n”
3.0x20 位置的数据是文件的大小,再对此时我们使用的文件的大小作比对
4.验证map_offet的大小和此时我们使用的文件的大小作比对
5.stringd_ids的偏移位置是不是112
4.使用map去获取dex的大小,因为map是位于dex文件末尾
先取到map的offset,根据offset+大小,获取到map结尾的位置,再减去起始位置,即可得到dex的大小
参考文章

参考源码

4.yang的dex解析

1.先拿到libart,因为需要根据libart拿到_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE
2.拿到地址开始dumpdex

esabeny
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android之整体脱原理与实践,今天带你详细了解各组件原理
m0_64604636的博客
12-12 1851
二.判断的类型: 判断App是不是加很简单,使用jadx打开Apk以后,查看App的四大组件类,如果组件类找不到实现,那么就是整体加了。 比如这里只能看到qihoo相关的代码,App的代码被隐藏了: 判断是不是函数抽取型就是看函数体是不是有意义的代码,比如下面就是一个抽取型,可以看到函数体都是nop指令: 判断是不是dex2C/VMP,就是要看是不是有Java方法被native化了,至于到底是dex2C还是VMP则需要更一步的判断,比如native函数注册地址是否相同: 三. 加
Apk工具合集AutoOdex2Dex,DexExtractor,drizzleDumper,java2small.rar
11-27
Apk工具合集包含内容:AutoOdex2Dex,DexExtractor,drizzleDumper,java2small
android之DexExtractor原理分析[zhuan]
weixin_30385925的博客
06-21 443
http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱的有2个缺点: 1. 需要动态调试 2. 对抗反调试方案 为了提高工作效率, 我们不希望把宝贵的时间浪费去和加固的安全工程师去做对抗。作为一个高效率的逆向分析师, ...
探秘《Wallbreaker》:打破技术壁垒的自动化工具
最新发布
gitblog_00069的博客
04-25 310
探秘《Wallbreaker》:打破技术壁垒的自动化工具 项目地址:https://gitcode.com/hluwa/Wallbreaker 在软件开发的世界中,自动化是提升效率的关键。今天我们要介绍的是一个名为 Wallbreaker 的开源项目,它是一个强大的自动化脚本工具,旨在帮助开发者解决日常工作中遇到的各种技术难题。 项目简介 Wallbreaker 是由开发者 hluwa 创建的一...
android之DexExtractor原理分析
weixin_33924770的博客
05-06 243
android之DexExtractor原理分析 导语: 上一篇我们分析android使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱的有2个缺点: 1. 需要动态调试 2. 对抗反调试方案 为了提高工作效率, 我们不希望把宝贵的时间浪费去和加固的安全工程师去做对抗。作为一个高效率的逆向分析师,...
安卓脱原理
平凡者的专栏
03-22 716
原理 安卓7.1(含,及以下) Class类对象种含有Dex结构体,利用这个可以脱 高版本 native 层脱原理待补充 步骤 Xposed hook ClassLoader.loadClass 方法即可得到Class对象 在应用attcah Context时后hook,此时还未加载代码,具体可查看参考Android App的启动流程 public static void hook(final LoadPackageParam lp) throws Throwable { Xpo
【胖虎的逆向之路】04——脱一代原理&脱相关概念详解
无方少年游
01-30 1572
在上文中,我们讲解了关于Android的基本办法和实际操作,现在我们来针对脱一代)的原理和脱相关的基础知识介绍,由于作者能力有限,会尽力的详细描述一代以上就是今天要讲的内容,主要借鉴了随风而行大佬的一些思路及文章,将文章在复写一遍目的是为了加深记忆,在以后的学习过程中可以很方便的查看~
一到四代解决方案
Codeooo 博客
09-09 1万+
一代加固 DEX加密 proguard等混淆、其他弱加密 DEX字符串加密 静态DEX文件整体加密解密 资源加密(xml与arsc文件加密及十六进制加密) 对抗反编译(添加垃圾类) 反调试 自定义DexClassLoader 第二代加固 DEX抽取与SO加固 DEX动态加载(分为利用jni和自定义jni即自定义底层函数) DEX代码抽取到外部(类抽取加密按需解密和动态方法修改替换) SO加密 第三代加固DEX动态解密与SO混淆 Dex代码动态解密 SO代码膨胀混淆 .
android dex 加载,android动态加载dex支持art
weixin_32824725的博客
05-27 217
7.1的内存加载(直接从byte字节数据加载,自构造内存DexFile后,还是过不了defineclassNative这一关,总是报错Check failed: dex_cache_location == dex_file_suffix (dex_cache_location=ςက, dex_file_suffix=�@,�) 'A/DEBUG: r0 00000000r1 00005...
一个易上手的函数抽取样本还原(JAVA遍历类与加载SO的思路,还有LoadMethod阶段去获取完整Dex)
zhangmiaoping23的专栏
09-22 717
那么其实这道题考察的就是classloader的运用,无论如何变,为了能让上层应用能正常运用,必然逃不脱整个安卓框架层,那么既然框架层也是用的classloader去加载类的,那么就逃不脱classloader这个知识点。由题目其实可以很清楚的了解到,这个函数抽取,类被还原后就不会复原回去,那么解题思路就很明确了,只要遍历所有的类,再把Dex dump出来,即脱成功。这这个方法中,我们可以拿到DexFile,然后进而可以拿到base和size,然后拿到这两个后,我们就可以dump dex出来了。
Android逆向之frida-dexdump脱分析某肿瘤sign
weixin_47115747的博客
11-25 6356
Android逆向之frida-dexdump脱分析某肿瘤sign
dumpDex 脱原理
zhangmiaoping23的专栏
09-27 2213
使用文章:http://martinhan.site/2018-12-13/Android%E9%80%86%E5%90%91%E4%B9%8B%E8%B7%AF---%E8%84%B1%E5%A3%B3360%E5%8A%A0%E5%9B%BA%E3%80%81%E4%B8%8Exposed%20hook%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A1%B9.html ...
DexDump使用和解析
Tesi1a的充电桩
03-06 4778
背景因为毕设是脱,就借鉴http://cb.drops.wiki/drops/tips-9214.html 乌云上的这篇上交的大牛脱机的思路,卡在脱那里了我们的第一个反应是有没有现成的程序,可以去翻译Dalvik字节码的,但是以读入内存中的DexFile结构体为输入,同时可以直接基于源码实现,也就是用C/C++实现的,而不是像更多的静态逆向工具直接以读入一个静态DEX文件为输入。找了下发现A
DexExtractor的原理分析和使用说明
Fly20141201. 的专栏
12-10 1万+
周末有空就写下博客了,今天来扯一扯Android平台的脱工具DexExtractor。DexExtractor工具的使用比较简单,脱原理也比较简单,工具的作者bunnyrene讲这个android工具只要是针对bangbang (Bangcle)和ijiami加固的脱工具,应该是这两类加固的免费版吧。之前在分析android病毒的时候使用过,但是有时候脱还是不成功,需要人工手工脱
常见脱与反编译工具
qq_42016346的博客
07-03 4951
目录 一、Android APK工具 二、Xposed框架下的脱工具 1.Zjdroid 2. DexExtractor(可在真机使用) 3. dexdump 4.FDex2 三、Frida框架下的脱工具(方便且持续更新) 1. frida-Android 2. frida-unpack 3.FRIDA-DEXDump 4.frida_dump 5.FRIDA-APK-UNPACK 四、AndroidKiller脱插件: 1.drizzleDumper ...
frida dump android手机内存数据工具
热门推荐
someby的博客
03-13 1万+
frida dumpandroid手机内存数据工具
一二三代和加技术分类识别
Qiled的博客
12-01 3519
文章目录1. 动态加载什么是动态加载? 为什么要动态加载?2. ClassLoader修正解决手段1:反射替换成DexClassLoader解决手段2:插入DexClassLoader3. 史第一代 Dex加密第二代 Dex抽取与So加固第三代 Dex动态解密与So混淆第四代 arm vmp(未来)4.用加固厂商特征:5. 加技术发展Dex的加固技术发展so加固的种类6. 加技术的识别函数抽取VMPDex2C如何快速区分apk所采用的保护技术?如何区分VMP和Dex2C?7. 各种的解决方案
Android逆向 某学员 x60加固 脱
zhoumi_
05-17 516
记一次学习过程,脱x60加固 com.vcolco.hxc.student x60加固 脱 1. 查 x60 2. 搜索关键字段 3. 使用脚本脱 开启 frida-sever 注入dump_dex.js frida -U -f com.vcolco.hxc.student --no-pause -l dump_dex.js 4. 再次反编译 导出文件 并且 改掉dex 前缀 压缩成zip adb pull /data/data/com.vcolco.hxc.studen
"2020 Android高频面试题大全及解析"。
接下来,我们还将介绍一些常见的 Android 性能优化面试题,包括内存泄漏的检测与排查、UI 卡顿分析与优化、网络请求优化等。性能优化是 Android 开发中非常重要的一环,优秀的开发者应该具备一定的性能优化能力,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值