360加固一键脱壳工具2020_Android FART脱壳机流程分析

最新推荐文章于 2023-12-25 14:52:27 发布
最新推荐文章于 2023-12-25 14:52:27 发布
阅读量1.3k 收藏 2
点赞数
文章标签: 360加固一键脱壳工具2020
本文详细分析了Android平台上的FART脱壳工具,该工具主要针对360加固的一键脱壳技术。FART通过主动调用来实现脱壳,尤其在ART环境下,其工作流程包括获取Classloader,反射获取类,遍历DexFile,以及dump Dex和CodeItem。虽然理论上能够脱壳大多数应用,但在实践中仍可能遇到挑战,需要进一步研究和实践。
摘要由CSDN通过智能技术生成

6dbacb1a39ea2c8c64a0f6461329fd09.png

1. 前言 64f8239d6a7a8cc3d5bad5ec6cee9bfc.png

在Android平台上,程序员编写的Java代码最终将被编译成字节码在Android虚拟机上运行。自从Android进入大众的视野后,apktool,jadx等反编译工具也层出不穷,功能也越来越强大,由Java编译成的字节码在这些反编译工具面前变得不堪一击,这相当于一个人裸奔在茫茫人海,身体的各个部位被众人一览无余。一种事物的出现,也会有与之对立的事物出现。有反编译工具的出现,当然也会出现反反编译工具的出现,这种技术一般我们加固技术。APP经过加固,就相当于给那个裸奔的人穿了衣服,“衣服”在一定程度上保护了APP,使APP没那么容易被反编译。当然,有加固技术的出现,也会有反加固技术的出现,即本文要分析的脱壳技术。

Android经过多个版本的更迭,它无论在外观还是内在都有许多改变,早期的Android使用的是dalvik虚拟机,Android4.4开始加入ART虚拟机,但不默认启用。从Android5.0开始,ART取代dalvik,成为默认虚拟机。由于dalvik和ART运行机制的不同,在它们内部脱壳原理也不太相同,本文分析的是ART下的脱壳方案:FART。它的整体思路是通过主动调用的方式来实现脱壳,项目地址:https://github.com/hanbinglengyue/FART

2. 流程分析 64f8239d6a7a8cc3d5bad5ec6cee9bfc.png

FART的入口在frameworks\base\core\java\android\app\ActivityThread.java的performLaunchActivity函数中,即APP的Activity启动的时候执行fartthread

private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {
        Log.e("ActivityThread","go into performLaunchActivity");    ActivityInfo aInfo = r.activityInfo;    if (r.packageInfo == null) {
            r.packageInfo = getPackageInfo(aInfo.applicationInfo, r.compatInfo,                Context.CONTEXT_INCLUDE_CODE);    }    ......    //开启fart线程    fartthread();    ......}

fartthread函数开启一个线程,休眠一分钟后调用fart函数

public static void fartthread() {
        new Thread(new Runnable() {
            @Override        public void run() {
                try {
                    Log.e("ActivityThread", "start sleep,wait for fartthread start......");                Thread.sleep(1 * 60 * 1000);            } catch (InterruptedException e) {
                    e.printStackTrace();            }            Log.e("ActivityThread", "sleep over and start fartthread");            fart();            Log.e("ActivityThread", "fart run over");        }    }).start();}

fart函数中,获取Classloader,反射获取一些类。反射调用dalvik.system.DexPathList的dexElements字段得到dalvik.system.DexPathList$Element类对象数组,Element类存储着dex的路径等信息。接下来通过遍历dexElements,得到每一个Element对象中的DexFile对象,再获取DexFile对象中的mCookie字段值,调用DexFile类中的String[] getClassNameList(Object cookie)函数并传入获取到mCookie,以得到dex文件中所有的类名。随后,遍历dex中的所有类名,传入loadClassAndInvoke函数。

public static void fart() {
        ClassLoader appClassloader = getClassloader();    List<Object> dexFilesArray = new ArrayList<Object>();    Field pathList_Field = (Field) getClassField(appClassloader, "dalvik.system.BaseDexClassLoader", "pathList");    Object pathList_object = getFieldOjbect("dalvik.system.BaseDexClassLoader", appClassloader, "pathList");    Object[] ElementsArray = (Object[]) getFieldOjbect("dalvik.system.DexPathList", pathList_object, "dexElements");    Field dexFile_fileField = null;    try {
            dexFile_fileField = (Field) getClassField(appClassloader, "dalvik.system.DexPathList$Element", "dexFile");    } catch (Exception e) {
            e.printStackTrace();    }    Class DexFileClazz = null;    try {
            DexFileClazz = appClassloader.loadClass("dalvik.system.DexFile");    } catch (Exception e) {
            e.printStackTrace();    }    Method getClassNameList_method = null;    Method defineClass_method = null;    Method dumpDexFile_method = null;    Method dumpMethodCode_method = null;    for (Method field : DexFileClazz.getDeclaredMethods()) {
            if (field.getName().equals("getClassNameList")) {
                getClassNameList_method = field;            getClassNameList_method.setAccessible(true);        }        if (field.getName().equals("defineClassNative")) {
                defineClass_method = field;            defineClass_method.setAccessible(true);        }        if (field.getName().equals("dumpMethodCode")) {
                dumpMethodCode_method = field;            dumpMethodCode_method.setAccessible(true);        }    }    Field mCookiefield = getClassField(appClassloader, "d
最低0.47元/天 解锁文章
weixin_39593519
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AOSP刷Fart8脱壳机安装及使用
dafan0的博客
06-18 107
刷机时,如果执行 flash-all.bat 无反应,那执行 fastboot devices 试试,若无设备出现,需要去安装google usb 驱动,具体参考六期-day06-03。我的电脑硬件不支持对AOSP源码进行编译,所以只能用别人编译好的刷机包进行刷机。使用的刷机包是luffy 8期 day37 下的v5目录下的taimen包,这个刷机包里面。刷机过程中,总是提示超过了最大存储空间,需要在flash-all.bat 文件的以下位置添加:-S 256M。
android自动化脱壳,[原创] FART:ART环境下基于主动调用的自动化脱壳方案 [android脱壳源码公开,基于android-9.0.0_r36]...
weixin_31243809的博客
05-26 906
一、背景hanbingle在看雪论坛上分享了[原创]FART:ART环境下基于主动调用的自动化脱壳方案,思路非常棒;可惜并没有公开修改android源码部分,这让深入理解脱壳方案或者定制化自己的脱壳方案存在困难,本文通过逆向FART所提供的system.img镜像得到思路,同时修改源码适配android-9.0.0_r36,并公开脱壳源码。二、如何逆向system.img呢?1、simg2img ...
360加固一键脱壳工具2020_「安卓逆向」360加固脱壳分析,手把手教你操作
热门推荐
weixin_39715290的博客
11-24 1万+
应很多粉丝说到的脱壳,现在就分享一个简单的脱壳图文教程,大家也可以先了解一下,对于有加固的软件都是需要先脱壳才能做逆向分析。那我们就先看一下这个加固是怎样脱壳的。首先直接看这个so库:拖入IDA静态看一下:发现看不到什么信息,原因很简单,因为被处理了;怎么办呢?通过010进行对so简单修改:拖入IDA,使用ELF.b进行识别:识别效果:头里面描述了有关节的信息:先修改节的偏移:这个三个:保存之后,...
函数抽取脱壳工具 fart代码阅读
flygle~的博客
05-10 932
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发壳的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
LineageOS20+Pixel6 下的Fart8.0脱壳机迁移和编译流程
lvlay79的博客
09-06 3561
​ 之前将Fart8.0的代码编译到Android13下,运行发现在将Java的Method对象转换成C的ArtMethod对象时报错,没找到原因。再加上AOSP的系统太素了,就琢磨是否可以用LineageOS来编译,所以就有了这篇文章。
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 1777
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
FART_8.0 源码
03-19
【标题】"FART_8.0 源码"涉及的是一个针对Android系统的脱壳工具FART的源代码版本,这里的"8.0"可能指的是该工具适配的Android系统版本或者是版本号。FART(Fast Android Resource Tool)通常用于Android应用的逆向...
实现通用脱壳机
08-09
本教程介绍了各种常见的加壳/脱壳的原理和技术,并给出了实现通用脱壳机的方法
手机app脱壳虚拟机镜像
06-01
分析这个360加固的app,开发者或安全研究人员通常会使用反编译工具(如Apktool、dex2jar)、动态调试器(如DDMS、 Frida)和虚拟机分析工具(如QEMU、Genymotion)。他们需要创建一个可以运行这个加密app的自定义...
安卓逆向学习笔记之FART中的脱壳点.docx
最新发布
03-25
安卓逆向学习笔记之FART中的脱壳点.docx
win10东方6-9全屏补丁_world_fart1q_东方project_
10-03
标题中的"win10东方6-9全屏补丁_world_fart1q_东方project_"表明这是一个针对Windows 10操作系统,适用于东方Project系列游戏的全屏补丁。"world fart1q"可能是补丁作者或者版本标识,而"东方project"是游戏系列的...
360、爱加密、梆梆去壳辅助工具
04-01
DroidSword快速锁定具体的方法类名、FDex2_1.1去壳获取dex、GDA3.62查看去壳后的源代码
万能脱壳工具
09-08
工具适用于所有语言的应用程序的脱壳,方便、快捷。
360修复工具
10-25
很多时候软件损坏了,都需要用到360修复工具。其实360修复工具有很多种,分别可以修复不同的问题。下面是360修复工具下载专题,如果有软件出现了错误,不妨尝试一下吧。
脱壳工具DrizzleDumper
12-23
脱壳工具DrizzleDumper,用于对android 的加壳apk进行脱壳,从而获取dex文件,用于学习使用
加固加壳脱壳分析(2)_脱壳原理和一些脱壳机分析
HURUWO的技术博客
08-13 579
脱壳原理 基于静态分析的源代码失效,脱壳的核心就是在于动态运行时候的把源代码dex文件dump下来。 所以最重要的几个点包括: 1.找到合适的脱壳点,也就是dex被解密加载进内存的点。 2.分析出dex文件的内存大小以及起始地址。 当然所有的操作要在运行期间读取出来这些信息 为了做到这一点我们需要一些特殊的方式 思路上的具体表现 为了能够找到dex文件的内存大小和地址,我们可以用两种方式: 1.找到解密并且将dex文件加载到内存的点,在此刻将dex文件记录并dump下来 2.直接从内存里搜索出已经加载好的d
360加固一键脱壳工具2020_Gradle实现自动化加固与多渠道打包
weixin_39683368的博客
11-22 842
研究这个Gradle自动化脚本初衷是为了实现自动化打包、加固和增加多渠道,从而一键完成应用发布上架应用市场前的所有操作,以达到解放双手和节约时间成本的效果。后期有考虑配合curl指令将打包好的apk自动上传到服务器或者托管平台,亦或可结合Jenkins自动化构建、打包、上传等,从而实现整个流程的自动化目的,不过目前最火的应该是将GitLab Auto DevOps与Kubernetes集...
Android Apk脱壳(360加固
weixin_34004576的博客
04-18 6541
工具下载:https://github.com/home-hwt/android/tree/master/decode_apkgenymotion模拟器下载http://www.genymotion.net/ FDex2通过Hook ClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),在将里面的dex写出 dex2ja...
Xposed插件 - Android一键脱壳工具
XposedLi的学习Xposed框架笔记
08-19 2905
介绍 Xposed插件 - Android一键脱壳工具 (必须获取root权限) 特性 支持Android4.0至7.1 支持模拟器及vmos 界面美观交互良好 一键脱全壳 并自动修复DexHeader magic 测试可脱(360加固)(爱加密),其余还未测试 使用教程 安装MDEX并在Xposed框架中激活。 打开MEDX点击需要脱壳的应用,选择DUMPDEX。(会跳转到选择的应用界面,完成脱壳会将路径自动复制到剪贴板),过程中请耐心等待。 文件管理器输入剪贴板路径 路径下的文件...
安卓逆向:FART组件主动调用设计与源码深度剖析
本文档是一份关于安卓逆向工程的深入学习笔记,重点关注FART(Fast Android Runtime)主动调用组件的设计与源码剖析。FARTAndroid系统从Dalvik虚拟机切换到ART(Android Runtime)后引入的一种关键技术,它改变了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值