dex 文件实践分析前篇---drizzleDumper知识储备

最新推荐文章于 2024-03-23 09:51:22 发布
最新推荐文章于 2024-03-23 09:51:22 发布
阅读量312 收藏
点赞数
分类专栏: c 文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32783703/article/details/124832074
版权

想写这系列的文章起源还是看到了linux内核之旅里的dex文件格式介绍,所以打算写一篇回顾笔记,回顾一下这块内容。

后续会通过项目https://github.com/DrizzleRisk/drizzleDumper 

分析一下dex的实践应用,尽管这种方式现在已经被淘汰了,但是还是值得我们回味!!!

dex文件格式

Leb128(Little-Endian Base 128)

LITTLE-ENDIAN(小字节序、低字节序),即低位字节排放在内存的低地址端,高位字节排放在内存的高地址端。与之对应的是:BIG-ENDIAN(大字节序、高字节序)。

为了实现变长存储,节省空间,每个字节最高位作为后续byte是否有效的标志位,1表示还有后续字节,0表示结束,后面7bits是有效数据,所以一个整数最大要5个byte存储。

0 1010101

1010101是有效数据位

0 是标志位 0代表后续无效 1代表后续有效。

注意高位在左边

Uleb 128 格式

按照文章里,用624485 我们看一下这种格式

624485的

1)二进制:

100110 0001110 1100101

2)高位补齐7 bits的倍数:

这个二进制串20个字节,我们只需要补一个就i变成21个字节了

0100110 0001110 1100101

3)7字节进行分组

0100110 0001110 1100101

4)对二进制进行编码

注意我估计文章遵循的还是 最高位 1 是 有效数据,0是无效数据的规则

00100110 10001110 11100101

5)转成16进制

0x26        0x8E        0xE5

6) 小端排列

0xE5  0x8E        0x26

sleb128 格式

sleb128 格式和uleb 128 格式类似,正数的处理和uleb128 完全一致,负数在机器中通过补码标识,若某一byte 第7位和前面的高位都为1 时则停止.

还是用一个数字 -123456 来看这种数据格式。

我们先思考第一个问题,计算机是如何表示负数的,没错就是补码。

在计算机中,负数都是以补码的形式存放的。而负数的补码正是正数的补码的相反数,由于我们只知道如何计算正数的二进制,所以在求负数的二进制的时候,应该先求负数的相反数的二进制(即正数的二进制),然后再求正数的二进制的相反数。具体计算过程如下:先求负数所对应的相反数(即正数)的二进制,然后再取反,再加1,就得到了负数的二进制,这也是负数在计算机中的存储形式。

-123456 解析过程

1)123456 的二进制原码

1000 0000 0000 0001 1110 0010 0100 0000

2)反码

1111 1111 1111 1110 0001 1101 1011 1111

3)补码

1111 1111 1111 1110 0001 1101 1100 0000

4)用7bits 分组

1111 1111111 1111000 0111011 1000000

5)对二进制编码

1111 1111111 1111000 10111011 11000000

由于规则第7位和前面的高位都是1就要停止

所以最后的格式为:

01111000 10111011 11000000

6)转换成16进制数

0x7B 0xBB 0xC0

7)小端排序

0xC0 0XBB 0x7B

序冢--磊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
drizzleDumper 工具
yhd007的专栏
08-22 2185
简介 drizzleDumper是一款基于内存搜索的Android脱壳工具。drizzleDumperis a memory-search-based Android unpack tool. 使用方法 ./drizzleDumper package_name wait_times(s) 更详细的使用方法可参考FreeBuf文章:http://www.freebuf.com/se...
自动脱壳工具drizzleDumper
01-29
一款自动脱壳的工具 使用前提: 手机需要root 使用步骤: 1. 安装加固的包, 2. adb push xxx\drizzleDumper /data/local/tmp 3. adb shell 4. chmod 777 /data/local/tmp/drizzleDumper 5. data/local/tmp/drizzleDumper [包名] [秒数] 例:data/local/tmp/drizzleDumper com.example.modifyso 5 详细步骤可查看压缩包里面的使用说明
360加固保-半自动脱壳工具
02-04
1、通过模拟器或手机端将360加固的apk文件进行半自动脱壳,方便研究学习作者的源码 2、内有详细说明 3、内有自动化的批处理,运行它就可以了 4、运行界面如下: D:\apktools\drizzleDumper>1drizzleDumper * daemon not running. starting it now on port 5037 * * daemon started successfully * 320 KB/s (9532 bytes in 0.029s) "请在模拟器中运行目标应用..." WARNING: linker: /data/local/tmp/drizzleDumperX86 has text relocations. This is wasting memory and is a security risk. Please fix. [>>>] This is drizzleDumper [<<>>] code by Drizzle [<<>>] 2016.05 [<<<] [*] The wait_times is 3s [*] Try to Find com.newapptest
脱壳工具DrizzleDumper
12-23
脱壳工具DrizzleDumper,用于对android 的加壳apk进行脱壳,从而获取dex文件,用于学习使用
drizzleDumper的原理分析和使用说明
qing666888的专栏
05-07 6022
在前面的博客中已经介绍了Android的脱壳工具DexExtractor的原理和使用说明,接下来就来分析一下另一个Android的脱壳工具drizzleDumper的原理和使用说明。drizzleDumper脱壳工具的作者是Drizzle.Risk,他是在strazzere大神的android-unpacker脱壳工具的基础上修改过来的drizzleDumper,他在完成drizzleDumper
dex-tools-2.1-SNAPSHOT_dex-tools-2.1_
09-29
dex-tools-2.1正是针对这种格式的文件进行操作的工具。 dex-tools-2.1-SNAPSHOT这个版本号表明这是一个开发中的版本,"SNAPSHOT"通常表示这是开发者的快照版本,可能包含了最新的功能或者修复,但并未正式发布,...
dex-tools-2.1-SNAPSHOT.zip
12-21
dex-tools-2.1-SNAPSHOT.zip】是一款用于处理Android应用APK中的DEX(Dalvik Executable)文件的工具集。在Android系统中,DEX文件是包含应用程序代码和资源的二进制格式,它是Dalvik虚拟机执行的指令集。这款工具...
dex2jar-2.0-配使用教程.zip
04-16
dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程
实测可用的dex-tool-2.2
06-23
"dex-tool-2.2"则是该工具的一个特定版本,可能包含了对前一版本的改进和修复,提高了转换效率或兼容性。 【压缩包子文件文件名称列表】"dex-tools-2.2-SNAPSHOT"可能包含了dex2jar工具的完整构建,包括主程序、...
drizzleDumper
06-10
drizzleDumper,360脱壳脚本工具。 drizzleDumper,360脱壳脚本工具
drizzleDumper工具和源码
12-10
android的脱壳drizzleDumper工具的可执行文件和已经详细注释的代码,送给需要的android安全学习的同学,也留给自己,每天进步一点。
drizzleDumper.zip秒脱360加固
09-28
drizzleDumper工具可秒脱360加壳。注意:手机需要root!!!用法:将drizzleDumper通过adb push drizzleDumper data/local/tmp;然后通过adb shell进入到手机data/local/tmp;然后通过“./drizzleDumper apk包名”使drizzleDumper运行起来,最后点击apk就可以秒脱360加壳啦
Apk脱壳工具合集AutoOdex2Dex,DexExtractor,drizzleDumper,java2small.rar
11-27
Apk脱壳工具合集包含内容:AutoOdex2Dex,DexExtractor,drizzleDumper,java2small
基于以太坊的drizzle 的demo
12-11
基于以太坊的小demo,源码地址为:https://truffleframework.org/boxes
探索创新安全工具:DrizzleDumper - 数据库安全与恢复的新星
gitblog_00019的博客
03-23 626
探索创新安全工具:DrizzleDumper - 数据库安全与恢复的新星 项目地址:https://gitcode.com/DrizzleRisk/drizzleDumper 在数字化的时代,数据安全成为了一个至关重要的问题。DrizzleDumper 是一款开源的数据库备份和恢复工具,由 DrizzleRisk 团队打造,旨在提供更高效、更安全的数据管理解决方案。 项目简介 DrizzleDu...
Android一键脱壳工具,drizzledumper下载
weixin_26757939的博客
05-25 652
drizzleDumper是一款基于内存搜索的Android脱壳工具,针对市场上一些普通应用的免费壳有不错的效果,关键是使用简单!能够省去程序员不少时间。此工具原理是打开加壳的应用,程序会循环遍历dex文件魔术头和dex大小然后自动dump到/data/loca/tmp内,并且有x86和arm两个版本,都可以使用。【使用说明】前提:需要root手机,安装加固的包(已测试过360加固,其他加固未测试...
Android逆向之drizzleDumper脱掉“360加固”的壳
Tomes.V.White
01-14 9086
转载自:http://www.520monkey.com/archives/1062 此处仅作为学习记录一用。至于评论问答环节,请去上面地址翻阅四哥的原文。上面已附上地址。 一、情景分析 程序猿一般都很孤独,特别是总是和代码相伴,比如像我这种穷屌丝,一到周末就闲着没事刷各种应用,看看想看的,无意中发现一款封面看着挺诱人的约友神器,下来来看看,迫不及待的点开: 我尼玛我只是想视频通话,竟...
dex2jar + jd-gui
最新发布
06-14
Dex2Jar和JD-GUI是两个用于Android应用程序分析的工具。它们在逆向工程和软件调试中扮演着关键角色。 1. Dex2Jar: 这是一个将Dalvik字节码(.dex文件)转换为Java字节码(.jar文件)的工具。Android应用通常使用Dalvik虚拟机运行,而.dex文件是这些应用的可执行文件Dex2Jar允许开发者查看原始的Java源代码,便于理解和分析应用程序的工作原理。 2. JD-GUI: JD-GUI是一个图形用户界面(GUI)的Java反编译器,它支持反编译.jar和.dex文件。使用JD-GUI,你可以直接在界面上浏览和编辑反编译后的Java源代码,这对于查找类、方法、变量等信息非常方便。它还提供了搜索功能和代码折叠,使得逆向工程过程更加直观和高效。 相关问题: 1. 为什么要用Dex2Jar进行转换? 2. JD-GUI支持哪些其他类型的文件? 3. 如何使用JD-GUI进行代码浏览和搜索?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值