安卓逆向:脱壳原理分析

最新推荐文章于 2024-04-17 06:16:46 发布
最新推荐文章于 2024-04-17 06:16:46 发布
阅读量592 收藏 1
点赞数
分类专栏: Android 文章标签: android java 开发语言
原文链接:https://www.jianshu.com/p/ca4e76dc8db4
版权

注意点:

1、多dex:
使用脱完之后,可能会有很多dex文件。fart脱出来的dex文件会伴随着同名的txt文件。如果有想找的类名,可以grep类名到txt文件找,然后再找同名的dex。

2、打开异常:
可能是dex的开头魔数故障
https://blog.csdn.net/sinat_18268881/article/details/55832757
这里有解释魔数是什么。大概意思是用010Editor打开。开头是dex.035开头的。
问题的出现可能是魔数没了,或者开头不是dex.035开头的,比如
在这里插入图片描述图里要把dex035前面的都删了。
如果没有魔数的,开头全是00000000,就把别的有魔数的直接粘过来就行
在这里插入图片描述扩展一下
https://github.com/lasting-yang/frida_dump/blob/master/dump_dex.js
这里yang的脱壳代码也是通过扫内存然后通过魔数来判断存不存的,当然缺陷也很明显,抹头的dex dump不出来。

在这里插入图片描述这个是葫芦娃的frida脱壳
https://github.com/hluwa/frida-dexdump/blob/master/frida_dexdump/agent/agent.js
在这里插入图片描述

加壳原理:

安卓有很多类加载器:(主要看后两个)

BootClassLoader:其他加载器父类。
PathClassLoader:默认的类加载器。
DexClassLoader: 可以加载任意地方的类的加载器。所以也是插件化、热修复、加壳的重点
InMemoryDexClassLoader: 这个是安卓8之后的内存加载dex
还有很多其他的。暂不考虑。用到再说。还有什么双亲委派机制能。不讲那么细了。说多了不容易理解
这里因为能动态加载类,只要壳厂商能自定义DexClassLoader,然后在壳想用的时候加载就ojbk了。

几代壳:

一代壳:dex整体套起来了
二代壳:类、函数啥的还在,里面代码为空,比如:func main(){}
三代壳:java的native化。代码不dex,跑so里去了,主要两类:vmp、dex2c
vmp、dex2c
开源代表作:
vmp: ADVMP
dex2c: dcc
分辨:
函数的 注册地址相同 , 并且 函数逻辑相似 , 则使用的是 VMP 加壳 ;
函数的 注册地址不同 , 并且 函数逻辑不相似 , 则使用的是 Dex2C 加壳 ;
方法:
adb logcat | grep Acticity.onCreate
看一下每次切换Acticity。日志里FromJni:0X地址 看一下每次地址是否相同。

通用脱壳法:

因为刚才提到了InMemoryDexClassLoader和DexClassLoader
然后去源码里看http://www.aospxref.com/android-8.1.0_r81

在这里插入图片描述就像这样 一层一层往上找,一直找到C代码。找到这些。
一、InMemoryDexClassLoader 类加载器脱壳点总结
dalvik_system_DexFile.cc#CreateSingleDexFileCookie
dalvik_system_DexFile.cc#CreateDexFile
dex_file.cc#DexFile::Open
dex_file.cc#DexFile::OpenCommon
dex_file.cc#DexFile::DexFile
二、ART 虚拟机下 DexClassLoader 类加载器脱壳点总结
file_magic.cc#OpenAndReadMagic 函数
dex_file.cc#DexFile::OpenCommon
dex_file.cc#DexFile::DexFile
这两种方式都有dex_file.cc#DexFile::OpenCommon和dex_file.cc#DexFile::DexFile

总结:
加固厂商可能使用 InMemoryDexClassLoader 类加载器 , 也可能使用 DexClassLoader 类加载器 , 这里为了保证不管使用什么类加载器 , 都可以进行脱壳 , 选择 2个类加载器都有的脱壳点 , 可以兼容两种类加载器 ;这两种方式都有dex_file.cc#DexFile::OpenCommon和dex_file.cc#DexFile::DexFile,就可以选择他俩。把传进来的dex保存下来就ojbk了

修改系统源码式的脱壳代码编写:↓
https://hanshuliang.blog.csdn.net/article/details/121964509?spm=1001.2014.3001.5502

凉亭下
关注
专栏目录
【愚公系列】2023年06月 移动安全之安卓逆向(DEX文件格式)
时光隧道
06-18 4380
DEX文件格式是Android操作系统中的一种二进制文件格式,用于存储编译后的Java字节码和相关元数据。DEX文件是为了解决在Android系统中运行Java应用程序的效率问题而产生的,它采用了一种优化的方法来减小二进制代码的大小和内存占用。在Android系统中,所有的应用程序都被编译成DEX格式,然后通过Dalvik虚拟机进行解释执行。DEX文件格式是Android应用程序的核心组成部分,它的优化和压缩对于应用程序的性能和响应速度有重要影响。
安卓逆向之基于Xposed-ZjDroid脱壳 逆向分析(脱壳)
sinat_28371057的博客
01-19 1494
安卓逆向——某力播逆向分析(脱壳) 一、环境 这一步真的头疼,环境很重要,各种测试,一下是我测试的环境,由于没有真机,就拿虚拟机做测试 1. Xposed 2.FDex2 3. fiddler 4.软件 二、抓包 通过 fiddler 抓包分析参数 可以看到,俩次请求的参数, udid 是一样,可以不用变,timestamp 应该是个时间戳,signature 可以经过某种变化的,也是主要分析的 三、脱壳 1、查看加固 首先对...
FART:ART环境下基于主动调用的自动化脱壳方案
最新发布
bfhye16552的博客
04-17 693
/step 4: 创建Application对象;在makeApplication函数中调用了newApplication,在该函数中又调用了app.attach(context),在attach函数中调用了Application.attachBaseContext函数//step 5: 安装providers//step 6: 执行Application.Create回调。
安卓逆向工程助手(dex支持java1.8)
08-14
把打包好的apk反编译成jar,dex支持java1.8哦!希望大家多多支持
某游戏社区App | So层逆向分析
TheWeiJun的博客
04-11 2790
加载so、通过native关键字定义了需要调用的方法getSign,也就是说,它这里调用的是so层的加密算法,so是什么?到这里,我们可以肯定,sign的加密算法就是md5加密;分析上面authorization的加密逻辑,我们需要确定return返回值中包含的多个参数的初始值即可完成对该参数的算法还原,接下来我们一起进入hook调试环节分析一下该算法吧。此刻我们已经知道了str、str2的生成规律,我们只需要还原该接口请求就能实现str、str2的参数生成,接下来我们需要对sign参数进行解密分析
Android逆向:脱某软件dex函数抽取型壳
高新园养鸡场
04-05 1950
案例与目标 案例下载 jadx打开以后可以看到很明显的壳特征。 目标:使用工具和自行实现脱壳。   工具脱壳 FRIDA-DEXDump FRIDA-DEXDump确实很轻松就拿到了dex文件,可惜文件数据有异常,无法正常打开分析。 frida-fart 通过frida-fart同样很轻松的拿到了dex文件,以首屏SplashActivity为例进行分析。 jadx可以正常打开,但里面的函数都是nop。 Fart脱壳机镜像 pixel刷入Fart脱壳机镜像,运行后在/sdcard/fart
AwsomeReverseTools:逆向工具大集合:脱壳dex重打包脚本;Frida Dump so脚本
05-28
逆向工程(Reverse Engineering)是IT领域中一种重要的技术手段,主要用于分析软件的功能、工作原理以及安全性。在Android开发和安全研究中,逆向工程扮演着至关重要的角色。本资源"AwsomeReverseTools"是一个专注于...
安卓app逆向破解脱壳教程
sinat_28371057的博客
01-19 2万+
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida (信抢红包):https://www.freebuf.com/company-information/180480.html APP逆向神器之Frida【Android初级篇】:https://www.jianshu.com/p/2d755beb1c54 frida 官网文档:https://fr..
安卓逆向学习笔记之FART中的脱壳点.docx
03-25
本文档将详细介绍在安卓逆向工程领域中,特别是在使用FART(Fast Android Reverse Tool)进行脱壳时的关键知识点。FART是一款针对Android平台的逆向工具,能够帮助研究人员或开发者快速分析和提取App中的关键信息,...
java安卓辅助源码-Android-Reverse-learn:安卓逆向学习
06-04
安卓逆向 01 frida高级逆向 frida hook Java frida hook native frida辅助分析ollvm字符串加密 frida辅助分析ollvm控制流平坦化 frida辅助分析ollvm指令替换 frida辅助分析ollvm虚假控制流 frida辅助分析非标准算法 ...
frida-dexdump 使用快速脱壳
weixin_44236034的博客
10-25 6095
暴力破解法 frida-dexdump 的使用介绍提示:以下是本篇文章正文内容,下面案例可供参考frida-dexdump 基本上脱壳还是比较方便的!非常简单。
FART彻底搞定函数抽取型壳
u014753748的博客
09-24 9100
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
安卓逆向笔记--ART环境下基于主动调用的自动化脱壳方案
qq_43593334的博客
04-06 1325
借鉴于大佬文章 https://www.52pojie.cn/forum.php?mod=viewthread&tid=426890&page=1 安卓逆向笔记–静态脱壳机 所需工具:Byend Compare AndroidKiller IDA
android逆向之多dex(multiDex)文件apk的逆向
Don't worry,be happy
05-27 2万+
0x00 Who is Multidex 很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。
360加固之libjiagu.so脱壳及dex dump
热门推荐
燕十二的BLOG
11-17 2万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
android自动化脱壳,[原创] FART:ART环境下基于主动调用的自动化脱壳方案 [android脱壳源码公开,基于android-9.0.0_r36]...
weixin_31243809的博客
05-26 938
一、背景hanbingle在看雪论坛上分享了[原创]FART:ART环境下基于主动调用的自动化脱壳方案,思路非常棒;可惜并没有公开修改android源码部分,这让深入理解脱壳方案或者定制化自己的脱壳方案存在困难,本文通过逆向FART所提供的system.img镜像得到思路,同时修改源码适配android-9.0.0_r36,并公开脱壳源码。二、如何逆向system.img呢?1、simg2img ...
dex是什么的缩写_修复FART dump下来的dex
weixin_31423955的博客
01-05 906
1. 情景在使用脱壳机对Android App脱壳的时候,我们常常会得到有nop指令填充的函数的dex,nop是No Operation的缩写,意为无操作。上面是一个函数的smali代码,可以清晰的看到函数被多个nop指令填充,如果这个函数解析成Java代码,则得到一个空的函数:某些壳在加固的时候会把dex文件中的函数的真正函数体给抽掉,用nop指令来填充,nop指令在这个过程中只用作占...
Android SO 逆向总结 -- 如何得出所需的逆向算法
HURUWO的技术博客
10-21 582
前置步骤 1.抓包确定目标参数 2.jadx 发现是否有壳 回填 2.jadx java层 hook 动静态 分析 参数加密地方 3.参数加密属于so层 找出对应的so文件 也就是 native 属于哪个so 4.进入so层 ida分析 打开确定是否混淆 是否动态加载 进入SO层分析 参考文章 看雪 夜幕 吾爱 init.array so 初始化 shift F7 data 字段查看信息 进入方法 DCD sub_939D8+1 看见了混淆 F5查看伪代码 修复参数 JNI_OnLoad函数注册 .dat
FART脱壳机的使用与进阶(1)_FART的安装与使用(pixel为例)
HURUWO的技术博客
08-18 4398
FART是什么 ART环境下基于主动调用的自动化脱壳方案。 https://github.com/hanbinglengyue/FART FART的测试强度 实战中,可以应对大多数的抽取型函数壳。也就是市面上大量的商业厂商使用的加密方式。 包括梆梆/百度/腾讯/360等多个加密厂商提供的加密壳。 可以做到不仅能正确dump出dex文件,同时也可以修复大部分的核心函数。 亲测一些比较知名的apk加固之后可以正确的dump下来。当然并不是完美的,但是基于FART的思想可以改进,做到更加全面的脱壳工具。 FART
安卓逆向分析FART脱壳技术解析
Android逆向工程中,脱壳是一个关键步骤,它涉及到移除应用的保护层,以便更深入地理解应用程序的工作原理FART(Fast Android Reversing Tools)是一个流行的工具,用于分析和逆向Android应用。本文档详细讨论了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值