加固加壳脱壳分析(2)_脱壳原理和一些脱壳机分析

最新推荐文章于 2022-11-14 16:47:57 发布
最新推荐文章于 2022-11-14 16:47:57 发布
阅读量578 收藏 3
点赞数
分类专栏: Android安全逆向知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lw_zhaoritian/article/details/119681641
版权

脱壳原理

基于静态分析的源代码失效,脱壳的核心就是在于动态运行时候的把源代码dex文件dump下来。

所以最重要的几个点包括:

1.找到合适的脱壳点,也就是dex被解密加载进内存的点。
2.分析出dex文件的内存大小以及起始地址。

当然所有的操作要在运行期间读取出来这些信息

为了做到这一点我们需要一些特殊的方式

思路上的具体表现

为了能够找到dex文件的内存大小和地址,我们可以用两种方式:

1.找到解密并且将dex文件加载到内存的点,在此刻将dex文件记录并dump下来
2.直接从内存里搜索出已经加载好的dex文件,直接dump下来。

显然方法2优点明显,具体可以参考

《深入 FRIDA-DEXDump 中的矛与盾》

dex修复

应对类抽取的加固方式

最后还差什么呢,也许dex直接脱下来是及其重要的一个步骤。但是将dex文件修复是更加核心的一个步骤。否则拉下来一个全是空方法的dex文件没有什么意义。

关于修复dex文件这个步骤比较复杂,后面直接遇到了分析过程。

这个过程需要对dex的文件格式非常熟悉,因此对dex的文件需要有个完整的解析过程了解。

脱壳方式

主流的脱壳方式,包括脱壳机

1.基于hook

包括xposed/frida的方式来读取
典型的案例有github的开源脱壳机框架

参考案例
Xposed
https://github.com/WrBug/dumpDex
https://github.com/WrBug/DeveloperHelper

Frida
https://github.com/dstmath/frida-unpack
https://github.com/hluwa/FRIDA-DEXDump

2.基于源码定制

对系统源码进行修改,在关键位置插入代码把dex文件dump下来

经典的案例FART以及其变种

https://github.com/Youlor/Youpk
https://github.com/hanbinglengyue/FART
https://github.com/Youlor/unpacker

3.基于虚拟机

最近出来一种基于虚拟机的 也就是基于VA的脱壳机

https://github.com/Youlor/unpacker

基于这种类似虚拟机的结构 可以应对很多厂商的壳,而且不用刷机和root

在使用上难度较小但是在开发上难度要大一点。要对VA研究足够多

总结

参考资料

https://mp.weixin.qq.com/s/n2XHGhshTmvt2FhxyFfoMA

https://github.com/hanbinglengyue/FART

一条不更新的懒狗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ORiEN脱壳分析
07-14
ORiEN脱壳分析文档和脱壳以后的程序,ORiEN壳虽然没有接触过,但是脱掉它还是蛮简单的。
UPX加壳脱壳
02-26
`upx加壳脱壳机(UPX Easy GUI)下载 1.7绿色汉化版_ - pc6下载站.url` 和 `Homepage.url` 分别指向软件的下载页面和官方网站;`UPX` 文件夹可能包含UPX命令行工具的二进制文件;`Langs` 文件夹可能包含软件支持的不同...
UPX脱壳全程分析(转)
banhanjun1518的博客
07-05 445
【文章标题】: UPX脱壳全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2494
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
[加壳脱壳] VMP壳原理简介
墨鱼菜鸡
08-29 533
特点 不同的压缩壳会先将 pe 文件压缩,载入内存后进行解压缩(TLS函数内)然后运行,而 vmp 是修改 pe文件中的汇编指令为一种 “伪指令” ,这些伪指令被虚拟机引擎解析,代替cpu去执行这些指令(如JVM和.NE...
脱壳入门(一)之分析Aspack壳
w_g3366的博客
07-02 5531
文章目录脱壳0.前置知识1 .壳的基础知识1.1壳的加载过程示例:分析一个简单的aspack壳 脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
加壳脱壳工具
10-24
吾爱软件加壳脱壳工具箱是一款专业的软件加壳脱壳工具软件,您可通过吾爱软件加壳脱壳工具箱为软件加壳脱壳,功能强大,使用简单,并且此款软件完全免费使用,喜欢的朋友不要错过,欢迎下载使用!
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不...我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能分析的程序,并没有修复成脱壳的PE文件。 另,我脱的是MSLRHv0.31a。比较简单的壳,适合初学者学习
跟我学汉化-加壳脱壳
08-10
绍跟我学汉化-加壳脱壳
实现通用脱壳机
08-09
本教程介绍了各种常见的加壳/脱壳原理和技术,并给出了实现通用脱壳机的方法
ExeCryptor2[1].x脱壳机
11-25
ExeCryptor+2[1].x.x.自动脱壳机.rar
vmp所有版本脱壳分析教程!
05-01
这是lcf所有的vmp脱壳教程,希望大家喜欢!
手机app脱壳虚拟机镜像
06-01
这是我破解一个360加固的app所用到的虚拟机的镜像。使用方式可以参见我的文章https://blog.csdn.net/jinking01/article/details/80533522
加壳脱壳
longfan的博客
08-07 3379
加壳脱壳,以前经常听人讲,但从未自己总结过,今天自己来总结加壳脱壳原理以及如何加壳脱壳。 什么是加壳加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。加壳,顾名思义,就是给一个东西加上一个壳,只不过这里是程序。就好比这大自然中的种子一样,为了保护自己,有一层壳,要想看到里面的东西,就要剥开这层壳。  加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优...
.Net Jit层脱壳机的实现原理
weixin_33753845的博客
01-11 1207
本文将在 .Net 反射脱壳机核心源代码 的基础上介绍,如何实现 Jit层脱壳 机。首先我们选择使用 C++/CLI 来完成这个工作。反射部分需要用到 。Net的相关类库,jit 层 hook 需要使用native c++ 方面的功能。本文假设您已经完成了 hook jit的工作,并截获到了相关结构体。首先介绍一下代码主要流程: 入口函数 void DumpAssembly(Assembly as...
APP加壳原理及常用脱壳方法介绍
热门推荐
weixin_43900244的博客
12-07 1万+
APP加壳原理及常用脱壳方法介绍 文章目录APP加壳原理及常用脱壳方法介绍前言1 加壳1.1 什么是加壳1.2 加壳作用1.3 加壳原理1.4 加壳后的利与弊1.5 如何辨别是否加壳2 脱壳2.1 脱壳原理2.2 常用脱壳软件2.2.1 反射大师2.3 脱壳分析2.3.1 Dex2Java2.3.2 Dex2Smali3 总结 前言 目前针对移动应用市场上安卓APP被破解、反编译、盗版丛生的现象,很多APP开发人员已经意识到保护APP的重要性。而对于移动应用APP加密保护的问题,如何对DEX文件加密尤为重
DexHunter在Dalvik虚拟机模式下的脱壳原理分析
Fly20141201. 的专栏
04-25 1949
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78494671在前面的博客《DexHunter的原理分析和使用说明(一)》、《DexHunter的原理分析和使用说明(二) 》中已经将DexHunter工具的原理和使用需要注意的地方已经学习了一下,前面的博客中只讨论了DexHunter脱壳工具在Dalvik虚拟机模式下的脱壳原理和使...
查壳去壳和加壳的基本原理
LizimU_0911的博客
11-14 965
1.查壳去壳和加壳的基本原理 1.1 壳的分类 1. 通常分为压缩壳和加密壳两类。 2. 压缩壳的特点是减小软件体积大小, 3. 加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制、使用次数、时间限制等。 1.2 查壳 可以利用PEID软件进行查壳,用PEID打开要查的软件,以扫雷为例,可以看到扫雷是用C++编写的程序,证明这个软件没有壳,如图1。若有壳,此处将会显示是用哪种方法加的壳。
upx脱壳加壳导出附加数据
最新发布
06-20
但在一些情况下,需要对UPX压缩后的文件进行脱壳,使其恢复为原始的可执行文件,或者加壳,使其变得更加安全。此外,UPX还支持导出附加数据,这些数据可以包含一些额外的信息,如程序的版本、作者、网站等,这些信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值