Android安全交流群:478084054
0x00序
第一次尝试脱dex壳,样本是在“爱加密”官网上免费加固的,非商业版。
本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。
0x01加固包和原包对比
加固后的classes.dex文件变大了,脱到JEB里面发现多了一些壳代码和一些垃圾类(jpvbhn、cioub、flsye…)。
原包中,很多类方法的指令被抽空了,如下面的onCreate。
将assets目录下的libexec.so脱到IDA中,发现个别方法被加密,并且用了o-llvm进行混淆编译。导出表中的那些x、y开头的变量就是o-llvm在编译过程中,添加混淆控制流(-bcf)时创建的。
ptrace注入,从内存中