android自动化脱壳,[原创] FART:ART环境下基于主动调用的自动化脱壳方案 [android脱壳源码公开,基于android-9.0.0_r36]...

最新推荐文章于 2024-05-13 07:53:11 发布
最新推荐文章于 2024-05-13 07:53:11 发布
阅读量907 收藏 3
点赞数
文章标签: android自动化脱壳

一、背景

hanbingle在看雪论坛上分享了[原创]FART:ART环境下基于主动调用的自动化脱壳方案,思路非常棒;可惜并没有公开修改android源码部分,这让深入理解脱壳方案或者定制化自己的脱壳方案存在困难,本文通过逆向FART所提供的system.img镜像得到思路,同时修改源码适配android-9.0.0_r36,并公开脱壳源码。

二、如何逆向system.img呢?

1、simg2img system.img system.img.ext4

2、sudo mkdir sysmain

3、sudo mount -t ext4 -o loop system.img.ext4 sysmain

进入到sysmain中,找到framework.jar、core-libart.jar、libart.so,主要涉及修改的是

framework.jar中的ActivityThread.java、core-libart.jar中的DexFile.java、libart.so中的libdexfile/dex/standard_dex_file.h、runtime/art_method-inl.h、runtime/art_method.h、runtime/native/dalvik_system_DexFile.cc。

将framework.jar改为

framework.zip解压后得到classes.dex,使用dex2jar,jd-gui转换为java代码查看,但jd-guid无法将核心的smali代码转为java代码。

所以只能通过阅读smali来了解脱壳思路,使用dex2smali将dex转换为smali,我们主要看ActivityThread.smali;

同理core-libart.jar也是同样的思路,最终我们得到DexFile.java,在这里只是加了一个函数,这个函数时个native方法,我们会在libart.so里面实现,在

ActivityThread.smali 里面调用,如何调用呢,我们看接下来的分析。

public classs DexFile {

+private static native void dumpMethodCode(Object methodid);

}

三、分析Java层脱壳代码

我们先看

ActivityThread.smali里面核心的脱壳代码:

.method public static fart()V

.catch Ljava/lang/Exception; { :L0 .. :L1 } :L11

.catch Ljava/lang/Exception; { :L3 .. :L4 } :L12

.catch Ljava/lang/IllegalAccessException; { :L15 .. :L16 } :L19

.catch Ljava/lang/IllegalAccessException; { :L21 .. :L22 } :L25

.catch Ljava/lang/reflect/InvocationTargetException; { :L21 .. :L22 } :L24

.registers 30

.prologue

.line 701

invoke-static { }, Landroid/app/ActivityThread;->getClassloader()Ljava/lang/ClassLoader;

move-result-object v5

.line 702

.local v5, appClassloader:Ljava/lang/ClassLoader;

new-instance v9, Ljava/util/ArrayList;

invoke-direct { v9 }, Ljava/util/ArrayList;->()V

.line 703

.local v9, dexFilesArray:Ljava/util/List;, "Ljava/util/List;"

const-string/jumbo v25, "dalvik.system.BaseDexClassLoader"

const-string/jumbo v26, "pathList"

move-object/from16 v0, v25

move-object/from16 v1, v26

invoke-static { v5, v0, v1 }, Landroid/app/ActivityThread;->getClassField(Ljava/lang/ClassLoader;Ljava/lang/String;Ljava/lang/String;)Ljava/lang/reflect/Field;

move-result-object v23

.line 705

.local v23, pathList_Field:Ljava/lang/reflect/Field;

const-string/jumbo v25, "dalvik.system.BaseDexClassLoader"

const-string/jumbo v26, "pathList"

move-object/from16 v0, v25

move-object/from16 v1, v26

invoke-static { v0, v5, v1 }, Landroid/app/ActivityThread;->getFieldOjbect(Ljava/lang/String;Ljava/lang/Object;Ljava/lang/String;)Ljava/lang/Object;

move-result-object v24

.line 706

.local v24, pathList_object:Ljava/lang/Object;

const-string/jumbo v25, "dalvik.system.DexPathList"

const-string/jumbo v26, "dexElements"

move-object/from16 v0, v25

move-object/from16 v1, v24

move-object/from16 v2, v26

invoke-static { v0, v1, v2 }, Landroid/app/ActivityThread;->getFieldOjbect(Ljava/lang/String;Ljava/lang/Object;Ljava/lang/String;)Ljava/lang/Object;

move-result-object v4

check-cast v4, [Ljava/lang/Object;

.line 707

.local v4, ElementsArray:[Ljava/lang/Object;

const/4 v8, 0

:L0

.line 709

.local v8, dexFile_fileField:Ljava/lang/reflect/Field;

const-string/jumbo v25, "dalvik.system.DexPathList$Element"

const-string/jumbo v26, "dexFile"

move-object/from16 v0, v25

move-object/from16 v1, v26

invoke-static { v5, v0, v1 }, Landroid/app/ActivityThread;->getClassField(Ljava/lang/ClassLoader;Ljava/lang/String;Ljava/lang/String;)Ljava/lang/reflect/Field;

:L1

move-result-object v8

:L2

.line 713

.end local v8

const/4 v3, 0

:L3

.line 715

.local v3, DexFileClazz:Ljava/lang/Class;

const-string/jumbo v25, "dalvik.system.DexFile"

move-object/from16 v0, v25

invoke-virtual { v5, v0 }, Ljava/lang/ClassLoader;->loadClass(Ljava/lang/String;)Ljava/lang/Class;

:L4

move-result-object v3

:L5

.line 719

.end local v3

const/16 v19, 0

.line 720

.local v19, getClassNameList_method:Ljava/lang/reflect/Method;

const/4 v7, 0

.line 721

.local v7, defineClass_method:Ljava/lang/reflect/Method;

const/4 v11, 0

.line 722

.local v11, dumpDexFile_method:Ljava/lang/reflect/Method;

const/4 v12, 0

.line 724

.local v12, dumpMethodCode_method:Ljava/lang/reflect/Method;

invoke-virtual { v3 }, Ljava/lang/Class;->getDeclaredMethods()[Ljava/lang/reflect/Method;

move-result-object v26

const/16 v25, 0

move-object/from16 v0, v26

array-length v0, v0

move/from16 v27, v0

:L6

.end local v7

.end local v11

.end local v12

.end local v19

move/from16 v0, v25

move/from16 v1, v27

if-ge v0, v1, :L13

aget-object v18, v26, v25

.line 725

.local v18, field:Ljava/lang/reflect/Method;

invoke-virtual/range { v18 .. v18 }, Ljava/lang/reflect/Method;->getName()Ljava/lang/String;

move-result-object v28

const-string/jumbo v29, "getClassNameList"

invoke-virtual/range { v28 .. v29 }, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

move-result v28

if-eqz v28, :L7

.line 726

move-object/from16 v19, v18

.line 727

.local v19, getClassNameList_method:Ljava/lang/reflect/Method;

const/16 v28, 1

move-object/from16 v0, v19

move/from16 v1, v28

invoke-virtual { v0, v1 }, Ljava/lang/reflect/Method;->setAccessible(Z)V

:L7

.line 729

.end local v19

invoke-virtual/range { v18 .. v18 }, Ljava/lang/reflect/Method;->getName()Ljava/lang/String;

move-result-object v28

const-string/jumbo v29, "defineClassNative"

invoke-virtual/range { v28 .. v29 }, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

move-result v28

if-eqz v28, :L8

.line 730

move-object/from16 v7, v18

.line 731

.local v7, defineClass_method:Ljava/lang/reflect/Method;

const/16 v28, 1

move/from16 v0, v28

invoke-virtual { v7, v0 }, Ljava/lang/reflect/Method;->setAccessible(Z)V

:L8

.line 733

.end local v7

invoke-virtual/range { v18 .. v18 }, Ljava/lang/reflect/Method;->getName()Ljava/lang/String;

move-result-object v28

const-string/jumbo v29, "dumpDexFile"

invoke-virtual/range { v28 .. v29 }, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

move-result v28

if-eqz v28, :L9

.line 734

move-object/from16 v11, v18

.line 735

.local v11, dumpDexFile_method:Ljava/lang/reflect/Method;

const/16 v28, 1

move/from16 v0, v28

invoke-virtual { v11, v0 }, Ljava/lang/reflect/Method;->setAccessible(Z)V

:L9

.line 737

.end local v11

invoke-virtual/range { v18 .. v18 }, Ljava/lang/reflect/Method;->getName()Ljava/lang/String;

move-result-object v28

const-string/jumbo v29, "dumpMethodCode"

invoke-virtual/range { v28 .. v29 }, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

move-result v28

if-eqz v28, :L10

.line 738

move-object/from16 v12, v18

.line 739

.local v12, dumpMethodCode_method:Ljava/lang/reflect/Method;

const/16 v28, 1

move/from16 v0, v28

invoke-virtual { v12, v0 }, Ljava/lang/reflect/Method;->setAccessible(Z)V

:L10

.line 724

.end local v12

add-int/lit8 v25, v25, 1

goto :L6

:L11

.line 710

.end local v18

.restart local v8

move-exception v13

.line 711

.local v13, e:Ljava/lang/Exception;

const-string/jumbo v25, "ActivityThread->err"

invoke-static { v1

最低0.47元/天 解锁文章
美滋滋呀
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FART脱壳机的使用与进阶(1)_FART的安装与使用(pixel为例)
HURUWO的技术博客
08-18 4161
FART是什么 ART环境下基于主动调用自动化脱壳方案。 https://github.com/hanbinglengyue/FART FART的测试强度 实战中,可以应对大多数的抽取型函数壳。也就是市面上大量的商业厂商使用的加密方式。 包括梆梆/百度/腾讯/360等多个加密厂商提供的加密壳。 可以做到不仅能正确dump出dex文件,同时也可以修复大部分的核心函数。 亲测一些比较知名的apk加固之后可以正确的dump下来。当然并不是完美的,但是基于FART的思想可以改进,做到更加全面的脱壳工具。 FART
FART_8.0 源码
03-19
【标题】"FART_8.0 源码"涉及的是一个针对Android系统的脱壳工具FART的源代码版本,这里的"8.0"可能指的是该工具适配的Android系统版本或者是版本号。FART(Fast Android Resource Tool)通常用于Android应用的逆向...
安卓逆向笔记--ART环境下基于主动调用自动化脱壳方案
qq_43593334的博客
04-06 1267
借鉴于大佬文章 https://www.52pojie.cn/forum.php?mod=viewthread&tid=426890&page=1 安卓逆向笔记–静态脱壳机 所需工具:Byend Compare AndroidKiller IDA
FARTART环境下基于主动调用自动化脱壳方案
最新发布
2401_84912135的博客
05-13 848
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
FART彻底搞定函数抽取型壳
u014753748的博客
09-24 9033
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
FART脱壳机制作
nini_boom的博客
11-25 7760
几乎所有在APP应用平台的软件,都有壳,若想进一步逆向,查看APP的代码、加解密函数、或者逆向协议,第一步都是要脱壳脱壳的重要性不言而喻。 FBI Warnning 感谢寒冰、r0ysue大佬,大佬们的gayhub和个人主页在片尾。 原材料 谷歌亲儿子手机一部,pixel或者nexus任何版本都阔以,系统Android8.10 寒冰巨佬的fart文章,深入理解脱壳原理 r0ysue姐编译好的fart rom镜像,请放心食用。 过程 首先根据手机下载对应的rom包。 链接:https://pan.b.
FART:ART环境下基于主动调用自动化脱壳方案
nini_boom的博客
04-20 1803
这是我通读FART的笔记,将FART的原理用自己的理解记录下来的一篇文章。 问题一: 为了解决后续应用在加载执行解密后的dex文件中的Class和Method的问题,接下来就是通过利用java的反射修复一系列的变量。其中最为重要的一个变量就是应用运行中的Classloader,只有Classloader被修正后,应用才能够正常的加载并调用dex中的类和方法,否则的话由于Classloader的...
java安卓辅助源码-Android-Reverse-learn:安卓逆向学习
06-04
FART主动调用组件设计和源码分析 FART frida FART修复组件和辅助VMP分析 03 ARM & C++算法还原原理 ARM可执行程序的生成过程 ARM汇编寻址、汇编指令、汇编开发 ARM汇编指令集 Thumb汇编指令集 AAAArch64汇编指令级 C...
安卓逆向学习笔记之FART主动调用组件设计和源码分析.docx
03-29
安卓逆向学习笔记之FART主动调用组件设计和源码分析.docx
安卓逆向学习笔记之FART中的脱壳点.docx
03-25
安卓逆向学习笔记之FART中的脱壳点.docx
kugimiya-rainbow-fart:傲娇钉钉宫,鞭写鞭骂-钉宫理惠vscode-rainbow-fart扩展语音包
03-18
预览语音文件: 语音台词对照: 关键词语音列表: 安装在vscode-rainbow-fart(v1.2.3)中约会语音包是需要打包成zip然后引用的,本项目已经提供了打包好的文件,可以直接在中下载最新版zip; (或者作为开发者从...
fart
03-08
FARTART环境下基于主动调用自动化脱壳方案android原始修改公开,基于android-9.0.0_r36 app-release.apk是原apk app-release_jiami.apk是加密后的apk ArtTest.zip是apk的源代码 framework_patch.txt,libcore_patch.txt,art​​_patch.txt是修改android-9.0.0_r36源码的补丁
手机app脱壳虚拟机镜像
06-01
这是我破解一个360加固的app所用到的虚拟机的镜像。使用方式可以参见我的文章https://blog.csdn.net/jinking01/article/details/80533522
探索趣玩:Android Fart——一个意想不到的技术玩具
gitblog_00044的博客
04-20 816
探索趣玩:Android Fart——一个意想不到的技术玩具 项目地址:https://gitcode.com/luoyesiqiu/android-fart 在编程的世界中,我们常常寻找创新和有趣的方式来学习或娱乐。今天我们要介绍的项目,是来自开发者luoyesiqiu的一个独特开源项目——Android Fart。不要被它的名字误导,尽管它可能听起来有些搞笑,但这个小程序背后隐藏着一些实用的...
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 1806
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
android程序 函数 流程,Android FART脱壳机流程分析
weixin_39887715的博客
05-26 405
if(szProcName[ 0]) {constDexFile *dex_file = artmethod->GetDexFile;constchar*methodname =PrettyMethod(artmethod).c_str;constuint8_t*begin_ = dex_file->Begin;size_tsize_ = dex_file->Size;memse...
优秀学员作品:《FartExt之优化更深主动调用FART10》
zhangmiaoping23的专栏
03-23 1276
参考 将FART和Youpk结合来做一次针对函数抽取壳的全面提升 看雪高研班课程 寒冰大佬的FART带动了不少新的主动调用思想的抽取壳方案。看了上面这篇文章,感觉意犹未尽,当然是要动手实践一翻来优化一波。于是我重新翻阅FART和Youpk的源码,我准备和那位大佬一样,参考Youpk在FART的基础上进行升级改造。开工前先明确出我的需求。 <!--more--> 需求 对指定进程脱壳,非目标进程不要执行脱壳线程。 对指定类列表进行脱壳FART升级到aosp10实现。
函数抽取脱壳工具 fart代码阅读
flygle~的博客
05-10 934
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发壳的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值