关于使用Androguard解析dex文件的问题[]

最新推荐文章于 2023-10-19 23:19:42 发布
最新推荐文章于 2023-10-19 23:19:42 发布
阅读量2.6w 收藏 5
点赞数
分类专栏: Android python 文章标签: file list string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackaduma/article/details/7092023
版权

最近使用androguard来反编译apk sample并分析,发现了一些问题

有些apk sample的dex文件的文件头的link_size和link_off不是默认的0值,填充着非零值,如0506,这个值正好落在了dex文件头的magic number和checksum字段中,应该是没有任何意义的。使用Androguard反编译该dex文件时候,总是通不过,会有异常抛出。

在dalvik官网上查了一下,说这两个字段暂时保留,并未用到,说是为了runtime implementations 来使用。在smali的讨论区上也有人说是填写这两个字段是用来防止被反编译的。

手工将link_size和link_off改为0,然后重新计算sha1和checksum,并对应修改该dex文件。然后重新用Androguard解析,仍然未通过。怀疑Androguard本身可能有问题。

跟踪异常,得到信息如下

Traceback (most recent call last):

 ag = androguard.AndroguardS(sFileName)
  File "./Androguard/androguard.py", line 447, in __init__
    self.__orig_a = Androguard( [ filename ], raw )
  File "./Androguard/androguard.py", line 239, in __init__
    self._analyze()
  File "./Androguard/androguard.py", line 258, in _analyze
    bc = dvm.DalvikVMFormat( self.__orig_raw[ i ] )
  File "./Androguard/core/bytecodes/dvm.py", line 3093, in __init__
    self.map_list = MapList( self.CM, self.__header.get_value().map_off, self )
  File "./Androguard/core/bytecodes/dvm.py", line 3051, in __init__
    mi = MapItem( buff, self.CM )
  File "./Androguard/core/bytecodes/dvm.py", line 2788, in __init__
    self.item = CodeItem( general_format.size, buff, cm )
  File "./Androguard/core/bytecodes/dvm.py", line 2745, in __init__
    x = DalvikCode( buff, cm )
  File "./Androguard/core/bytecodes/dvm.py", line 2662, in __init__
    self._code = DCode( self.__CM, self.insns_size.get_value(), buff.read( self.insns_size.get_value() * ushort ) )
  File "./Androguard/core/bytecodes/dvm.py", line 2546, in __init__
    operands, special = self._analyze_mnemonic( op_value, DALVIK_OPCODES[ op_value ])
  File "./Androguard/core/bytecodes/dvm.py", line 2571, in _analyze_mnemonic
    r = self._extract_values(i)
  File "./Androguard/core/bytecodes/dvm.py", line 2562, in _extract_values
    return MAP_EXTRACT_VALUES[i]( self.__insn, self.__current_pos )
  File "./Androguard/core/bytecodes/dvm.py", line 2336, in op_AA_OP
    i16 = unpack("=H", insn[current_pos:current_pos+2])[0]
struct.error: unpack requires a string argument of length 2

其中 函数op_AA_OP如下: 

def op_AA_OP(insn, current_pos) :
    print insn
    print len(insn)
    print current_pos
    i16 = unpack("=H", insn[current_pos:current_pos+2])[0]
    return [2, [i16 & 0xff, (i16 >> 8) & 0xff]]

在 调用“op_AA_OP”这个函数中打印 “insn” 和“current_pos”的信息: 

p
[ÑíJ
20
18
p
[ÑíJ
20
20

发现,当current_pos = 20 也就是 len(insn)=20时,仍然会进入“op_AA_OP”中,结果 

insn[current_pos:current_pos+2]

会返回空list,[],这样会导致unpack函数抛异常。


这一段是在 Androguard解析dex文件的CodeItem时候,出现的问题。我扫描一些正常文件(data link section 的值为0的sample),都是通过的。推测,sample的作者,为了防止反编译,不仅仅只是修改了link_size和link_off这两个字段并重新生成sha1和checksum,这么简单。应该对Code也做有相应修改。如果病毒apk都采用这种方式防止反编译,相信目前很多杀软都会束手无策。

还是不太清楚为什么,继续学习中。


巧克力工厂的查理
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
利用 androguard 自动导出protobuf 文件
flygle~的博客
06-10 333
protobuf androguard
baksmali和smali源码分析(六)
weixin_34071713的博客
08-27 178
smali框架源码主要是对于baksmali的一个逆向过程,也就是其编译过程。本身包的文件很少,也就是13个java文件但是里面有几个有antlr3 和 jflex生成的词法分析器和解释器文件smaliParser.javasmaliTreeWalker.java这两个文件时由 antlr3 生成的smaliFlexLexer.java这个文件...
开源静态分析工具androguard体验(二)
研之庭
06-01 9676
逆向分析dex的话,个人还是比较中意VTS,JEB(穷人买不起),IDA等。之前有尝试使用androguard,感觉还是不咋习惯,虽然基于其基础上演变的一些项目挺有吸引力。不过作为项目的基础,androguard确实再适合不过了。至少静态分析很多功能直接调用或者在其上修改效果倒是事半功倍。也正因为这个目的,才有了第二篇体验。 其实官网的wiki写的很详细了,包括一些使用方法,api参考,都
androguard使用指南(参考英文官方文档)
qq_53861867的博客
10-19 2103
接着,对于找到的每个字段,它打印出字段的名称,然后查找所有读取和写入该字段的方法,并将这些方法的类名和方法名一起打印出来。a.get_android_manifest_axml().get_xml():返回APK文件的AndroidManifest.xml的二进制XML(AXML)表示。field有一点不同,不使用xref_from和xref_to,而是使用xref_read()和xref_write()。以上输出的逻辑表示为,输出对于每种方法中,对于每个交叉引用,此行代码打印了调用该方法的类名和方法名。
Android Dex文件详解
Misdirection_XG的博客
05-27 7018
前言 相信大家都熟悉dex文件,把一个apk给解压缩,就会得到一堆dex文件,但是这些dex文件是怎么来的,又有什么用,为什么这样设计,有进行思考过吗 俗话说知其然,知其所以然,本篇文章开始探究一下这些底层实现细节。 正文 不同的虚拟机 JVM JVM是Java Virtual Machine的简称,即Java虚拟机,它本质是一层软件抽象,在这之上才可以运行Java程序。Java文件经过编译后会生成JVM字节码,和C语言编译后生成的汇编语言不同,C编译成的汇编语言可以直接在硬件上跑,但是Java编译生成的字
DEX文件字段和方法定义解析.zip
04-18
在"parserMethod.py"和"parserField.py"这两个Python脚本中,开发者可能采用了如下的步骤来解析DEX文件: 1. 首先,读取DEX文件的二进制内容,并理解其基本的四字节(32位)对齐的结构。 2. 使用Python的struct模块...
Dex文件提取字符串
05-09
Dex文件的结构并不直接暴露字符串,它们被存储在一个字符串池中,需要通过解析Dex文件的头部信息和偏移量来获取。这个过程通常涉及到对Dex文件格式的深入理解,包括文件头、字符串索引表、类型列表等各个部分。...
androguard 3.2.1源码
01-04
1. **反编译与解析**:Androguard能够将Dalvik字节码(DEX文件)反编译为人类可读的Java源代码,帮助我们理解APK的运行逻辑。 2. **静态分析**:通过解析APK的AndroidManifest.xml文件Androguard可以获取到应用的...
DexConfuse:简易dex混淆器
06-20
1. 解析Dex文件:首先,工具需要解析Dex文件的结构,获取其中的类、方法和字段信息。 2. 生成混淆规则:根据预设的混淆策略(如随机字符串、字母数字替换等),生成新的类名、方法名和字段名。 3. 应用混淆规则:将...
androguard-master (1).zip
06-02
- **应用审计**:开发者可以使用Androguard来检查自己的应用是否存在潜在的安全漏洞,确保应用的合规性。 - **逆向工程**:Androguard是逆向工程师的得力助手,它可以帮助理解和修改已有的APK,以满足特定的需求。 ...
java 解析修改dex_Android dex文件解析
weixin_29795345的博客
03-05 572
1. 关于Android dex文件dex文件作为Android APK的组成部分,其主要是Android的Java代码经过编译生成class文件,再经过dx命令生成的。这里面包括了APK的源码,反编译时最主要就是对这个文件进行反编译。有人会问,知道了dex文件结构有什么用呢?在Android安全方面来说,dex是安全的重头戏,如果能够了解了dex文件的格式,那么对于dex文件的加固原理也就有简...
Androguard使用方法
云守护的专栏
06-15 5207
Androguard使用方法 androdd.py用来生成apk文件中每个类的方法的调用流程图 ./androdd.py -i  /root/Desktop/apk/sign.apk -o output -f PNG androlyze.py提供了一个交互环境方便分析人员静态分析Android程序 ./androlyze.py -s apkviewer.py用来为apk
使用androguard对APK进行静态分析
Goallegoal的博客
06-18 4943
androguard使用 androguard commands: analyze Open a IPython Shell and start reverse engineering. apkid Return the packageName/versionCode/versionName per APK as... arsc Decode resources.arsc either directly from a given file or...
详解Androguard静态分析APK方法
热门推荐
ybdesire的专栏
09-22 1万+
Androguard分析APK的原理与示例。
运用smali自动注入技术分析android应用程序行为
jiang_lostcode的专栏
10-31 3179
通过smali注入技术,分析apk的行为,可做性能和安全方面数据分析。
静态分析androguard
Because of dream!
05-28 1937
1.androaxml 读取配置文件AndroidManifest.xml Options:     -h --help                 -i --INPUT     -o --OUTPUT     -v --version         python2 androaxml.py -i manager.apk -o output.xml
自动化实战1:实现检查dex文件,获取方法数
han_qing1213的博客
07-18 597
背景:安卓编包有个65535规则,所有dex文件的方法数和field数值都不能超过65535,否则会导致编包失败,因此在研发过程中需要对分支包的方法数进行监控。 实现逻辑: 1.采用dexdump工具对dex文件进行解析dexdeump -f <path> >1.txt 2.获取apk包路径,将其变成zip文件(zip格式文件才能实现解压获取dex文件); 传入的apk复制一份至本地目录下(避免修改到原文件),将复制后的apk利用rename()重命名为test.zip,后续对te
linux下安卓逆向工具,Android逆向工具:Androguard(一)
weixin_30994847的博客
05-13 812
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?本文介绍一下Androguard的安装和使用。什么是AndroguardAndroguard使用Python编写的逆向工具,它可以在多个平台上运行-Linux/Windows/OSX。使用它可以反编译android应用,也可以用来做android app的静态分析(static analysis)。下载安装Andro...
在python中直接调用androguard
ybdesire的专栏
08-22 6269
如何在自己的python代码中直接调用androguard的函数。
Android_DEX_文件格式详解.pdf
最新发布
04-22
"深入解析Android DEX文件格式" 在Android操作系统中,DEX(Dalvik Executable)文件是用于存储编译后Java源代码的二进制格式。这些文件包含了类、方法和字段定义,以及用于执行应用程序的机器码。了解DEX文件格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值