Android加固与脱壳学习之linux基础和抽取dex

最新推荐文章于 2024-04-07 18:53:27 发布
最新推荐文章于 2024-04-07 18:53:27 发布
阅读量1.4k 收藏
点赞数
分类专栏: android security 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/53152265
版权

文件系统暴露信息

重要的几个文件系统包括:
/proc/pid/maps 内存映射
/proc/pid/task 子线程
/proc/pid/mem 进程持有的内存,不可读
/proc/pid/cmdline 启动时相关
/proc/pid/status 进程状态

1.可通过ps查看到pid
2.通过cat命令查看到proc文件系统对应的相关信息。
3.如果需要dump信息可以通过dd来达到效果。bs指定blocksize,count指定dump的block数量,通过skip可以选择dump的起始位置,可以用来在maps里dump某内存的数据。一些简单的壳是可以通过这种方法脱掉的

maps 可通过配合grep 查看到dex的加载地址。
task 可通过ls来查看到子线程pid

dd 抽取dex

1.cat maps grep出dex
2.dd 出dex,

gdb gcore抽取dex

1.push gdbserver
2.chmod
3.ps找到Pid
4.防止保护了主进程,查看子进程pid(通过task)
5.通过./gdbserver :1234 --attach pid监听
6.打开gdb本地,然后target remote:1234
7.gcore 这样会把整个内存全部dump下来。 大小会比较大,时间也会比较长,然后去搜索相关内容。可以去找类等等

Anciety
关注
专栏目录
android 爱加密 脱壳,简单尝试脱“爱加密”官网加固DEX
weixin_29007809的博客
05-31 3600
Android安全交流群:4780840540x00序第一次尝试脱dex壳,样本是在“爱加密”官网上免费加固的,非商业版。本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。0x01加固包和原包对比加固后的classes.dex文件变大了,脱到JEB里面发现多了一些壳代码和一些垃圾类(jpvbhn、cioub、flsye…)。原包中,很多类方法的指令被抽空了,如下面的onCr...
【安卓逆向】360加固-脱壳修复
热门推荐
YJJYXM的博客
10-08 2万+
最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了壳代{过}{滤}理,没有一点原APK的代码。在assets中,有两个壳相关的SO: 尝试从内存中DUMP原cla...
DEX保护之指令抽取
weixin_34294649的博客
06-11 1037
引言首先我们需要了解一代壳的原理,一代壳是对dex文件进行加密,反编译只能看见壳程序的代码,只能通过IDA动态调试或者使用Xposed等HOOK框架,hook相关API在App运行时dump出解密后的dex文件,这两种方法都是通过内存dump出解密后的dex文件来进行脱壳的。针对上面一代壳的简单描述,我们引出二代壳的功能:防止内存dump出dex文件指令抽取概念将需要保护的源...
简单尝试脱某加固DEX壳--二代抽取壳(dexhunter)
zhangmiaoping23的专栏
12-13 1147
0x00 序 第一次尝试脱dex壳,样本是在“*****”官网上免费加固的,非商业版。 本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。0x01 加固包和原包对比 加固后的classes.dex文件变大了,脱到JEB里面发现多了一些壳代码和一些垃圾类(jpvbhn、cioub、flsye…)。 原包中,很多类方法的指令被抽空了,如下面的onCreate。 将assets目...
练习-抽取类以及实现
o_o_gl的博客
03-13 370
public class Customer { private String name; public Customer(String name) { super(); this.name = name; } public String getName() { return name; } public void setName(String name) { t...
Android逆向:脱某软件dex函数抽取型壳
高新园养鸡场
04-05 2045
案例与目标 案例下载 jadx打开以后可以看到很明显的壳特征。 目标:使用工具和自行实现脱壳。   工具脱壳 FRIDA-DEXDump FRIDA-DEXDump确实很轻松就拿到了dex文件,可惜文件数据有异常,无法正常打开分析。 frida-fart 通过frida-fart同样很轻松的拿到了dex文件,以首屏SplashActivity为例进行分析。 jadx可以正常打开,但里面的函数都是nop。 Fart脱壳机镜像 pixel刷入Fart脱壳机镜像,运行后在/sdcard/fart
脱壳工具 BlackDex32 3.1.0 Android手机脱壳工具
03-18
BlackDex是一个运行在Android手机上的脱壳工具,支持5.0~12,无需依赖任何环境任何手机都可以使用,包括模拟器。只需几秒,即可对已安装包括未安装的APK进行脱壳。 声明 [本项目并不针对任何加固,在遇到检测环境...
Android App加固脱壳技术深度探究
"对Android App加固脱壳方法的研究...Android App加固脱壳的斗争是一个持续的过程,加固技术不断进化,脱壳方法也随之更新。开发者和安全研究人员需要时刻关注最新的防护手段,以便及时调整策略,确保App的安全性。
FartRepair:fart修复脚本
05-08
FartRepair 依赖于寒冰师傅的FART的针对函数抽取壳的修复脚本 使用方法 python repair.py -d <dumpdexfile> -i <insfile> (-m <method> | -a) -d参数后跟FART dump下来的dex -i参数后跟FART 主动执行产生的bin文件 -m参数后跟想要修复的函数名 -a参数,依据bin文件修复所有函数 如果apk采用的函数抽取壳并未删去抽取的空间,此时-a参数可以正常使用,但是如果apk中抽取函数的空间都没有了,如果想一次性修复所有函数,建议还是使用寒冰师傅的,不过如果修复单个函数,使用-m参数即可 最后 如有bug,欢迎指摘
Android中dump出dex文件
06-07
Android中dump出dex文件
APK加固之类抽取分析与修复
燕十二的BLOG
11-27 5481
测试环境与工具 手机系统: 华为U9508 android 4.2.2 IDA Pro 6.8 AndroidKiller 1.2 高手不要见笑,仅供小菜玩乐,有不对或不足的地方还请多多指教,不胜感激! 0x00 简单介绍   目前我己知的APK加固主要有以下两种方式(或有其它的方式有待发现) 隐藏dex文件:通过对目标DEX文件进行整体加密或压缩方式把整个dex转换
分享一个自己做的函数抽取
zhangmiaoping23的专栏
01-12 1019
一、概述 项目中慢慢开始,写一些简单的 kotlin类了,挺方便的一个语言,借鉴了不少脚本语言的特点。刚开始用,有些点经常要翻越,特别记录下。 二、常用的几个复合符号 《Kotlin 实战》小人系列,的这本书里 画的图很清晰了,我又重画了一遍。 2.1、 ?.安全调用符 !这里写图片描述 if (foo != null){ return foo.bar() }else{ return null } 1 2 3 4 5 6 2.2、 ?: 2.3、 as? 2.4、 !! ...
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 2402
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
函数抽取脱壳工具 fart代码阅读
flygle~的博客
05-10 1052
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发壳的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
FART彻底搞定函数抽取型壳
u014753748的博客
09-24 9124
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
FART:ART环境下基于主动调用的自动化脱壳方案,架构师必备技能
最新发布
2401_84152232的博客
04-07 1193
/step 3: 创建Instrumentation//step 4: 创建Application对象;在makeApplication函数中调用了newApplication,在该函数中又调用了app.attach(context),在attach函数中调用了Application.attachBaseContext函数//step 5: 安装providers//step 6: 执行Application.Create回调。
加壳应用反编译
xiaolli的专栏
09-25 3224
使用gcore dump出apk 的内存,在从内存中扣出来dex文件,此方法只针对于简单的加壳应用生效。 使用gdb dump出来内存的方法有两种: 1、使用正常gdbserver 与gdb 的方法去dump内存 正常 gdbserver 与gdb的用法 在手机端:  gdbserver :6000 --attach pid 在电脑端: adb forward tcp:6
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值