360加固一键脱壳工具2020_Android FART脱壳机流程分析

最新推荐文章于 2024-02-06 21:49:46 发布
最新推荐文章于 2024-02-06 21:49:46 发布
阅读量1.3k 收藏 2
点赞数
文章标签: 360加固一键脱壳工具2020
本文详细分析了Android平台上的FART脱壳工具,该工具主要针对360加固的一键脱壳技术。FART通过主动调用来实现脱壳,尤其在ART环境下,其工作流程包括获取Classloader,反射获取类,遍历DexFile,以及dump Dex和CodeItem。虽然理论上能够脱壳大多数应用,但在实践中仍可能遇到挑战,需要进一步研究和实践。
摘要由CSDN通过智能技术生成

6dbacb1a39ea2c8c64a0f6461329fd09.png

1. 前言 64f8239d6a7a8cc3d5bad5ec6cee9bfc.png

在Android平台上,程序员编写的Java代码最终将被编译成字节码在Android虚拟机上运行。自从Android进入大众的视野后,apktool,jadx等反编译工具也层出不穷,功能也越来越强大,由Java编译成的字节码在这些反编译工具面前变得不堪一击,这相当于一个人裸奔在茫茫人海,身体的各个部位被众人一览无余。一种事物的出现,也会有与之对立的事物出现。有反编译工具的出现,当然也会出现反反编译工具的出现,这种技术一般我们加固技术。APP经过加固,就相当于给那个裸奔的人穿了衣服,“衣服”在一定程度上保护了APP,使APP没那么容易被反编译。当然,有加固技术的出现,也会有反加固技术的出现,即本文要分析的脱壳技术。

Android经过多个版本的更迭,它无论在外观还是内在都有许多改变,早期的Android使用的是dalvik虚拟机,Android4.4开始加入ART虚拟机,但不默认启用。从Android5.0开始,ART取代dalvik,成为默认虚拟机。由于dalvik和ART运行机制的不同,在它们内部脱壳原理也不太相同,本文分析的是ART下的脱壳方案:FART。它的整体思路是通过主动调用的方式来实现脱壳,项目地址:https://github.com/hanbinglengyue/FART

2. 流程分析 64f8239d6a7a8cc3d5bad5ec6cee9bfc.png

FART的入口在frameworks\base\core\java\android\app\ActivityThread.java的performLaunchActivity函数中,即APP的Activity启动的时候执行fartthread

private Activity performLaunchActivity(ActivityClientRecord r, Intent customIntent) {
        Log.e("ActivityThread","go into performLaunchActivity");    ActivityInfo aInfo = r.activityInfo;    if (r.packageInfo == null) {
            r.packageInfo = getPackageInfo(aInfo.applicationInfo, r.compatInfo,                Context.CONTEXT_INCLUDE_CODE);    }    ......    //开启fart线程    fartthread();    ......}

fartthread函数开启一个线程,休眠一分钟后调用fart函数

public static void fartthread() {
        new Thread(new Runnable() {
            @Override        public void run() {
                try {
                    Log.e("ActivityThread", "start sleep,wait for fartthread start......");                Thread.sleep(1 * 60 * 1000);            } catch (InterruptedException e) {
                    e.printStackTrace();            }            Log.e("ActivityThread", "sleep over and start fartthread");            fart();            Log.e("ActivityThread", "fart run over");        }    }).start();}

fart函数中,获取Classloader,反射获取一些类。反射调用dalvik.system.DexPathList的dexElements字段得到dalvik.system.DexPathList$Element类对象数组,Element类存储着dex的路径等信息。接下来通过遍历dexElements,得到每一个Element对象中的DexFile对象,再获取DexFile对象中的mCookie字段值,调用DexFile类中的String[] getClassNameList(Object cookie)函数并传入获取到mCookie,以得到dex文件中所有的类名。随后,遍历dex中的所有类名,传入loadClassAndInvoke函数。

public static void fart() {
        ClassLoader appClassloader = getClassloader();    List<Object> dexFilesArray = new ArrayList<Object>();    Field pathList_Field = (Field) getClassField(appClassloader, "dalvik.system.BaseDexClassLoader", "pathList");    Object pathList_object = getFieldOjbect("dalvik.system.BaseDexClassLoader", appClassloader, "pathList");    Object[] ElementsArray = (Object[]) getFieldOjbect("dalvik.system.DexPathList", pathList_object, "dexElements");    Field dexFile_fileField = null;    try {
            dexFile_fileField = (Field) getClassField(appClassloader, "dalvik.system.DexPathList$Element", "dexFile");    } catch (Exception e) {
            e.printStackTrace();    }    Class DexFileClazz = null;    try {
            DexFileClazz = appClassloader.loadClass("dalvik.system.DexFile");    } catch (Exception e) {
            e.printStackTrace();    }    Method getClassNameList_method = null;    Method defineClass_method = null;    Method dumpDexFile_method = null;    Method dumpMethodCode_method = null;    for (Method field : DexFileClazz.getDeclaredMethods()) {
            if (field.getName().equals("getClassNameList")) {
                getClassNameList_method = field;            getClassNameList_method.setAccessible(true);        }        if (field.getName().equals("defineClassNative")) {
                defineClass_method = field;            defineClass_method.setAccessible(true);        }        if (field.getName().equals("dumpMethodCode")) {
                dumpMethodCode_method = field;            dumpMethodCode_method.setAccessible(true);        }    }    Field mCookiefield = getClassField(appClassloader, "d
最低0.47元/天 解锁文章
weixin_39593519
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AOSP刷Fart8脱壳机安装及使用
dafan0的博客
06-18 113
刷机时,如果执行 flash-all.bat 无反应,那执行 fastboot devices 试试,若无设备出现,需要去安装google usb 驱动,具体参考六期-day06-03。我的电脑硬件不支持对AOSP源码进行编译,所以只能用别人编译好的刷机包进行刷机。使用的刷机包是luffy 8期 day37 下的v5目录下的taimen包,这个刷机包里面。刷机过程中,总是提示超过了最大存储空间,需要在flash-all.bat 文件的以下位置添加:-S 256M。
FART_8.0 源码
03-19
【标题】"FART_8.0 源码"涉及的是一个针对Android系统的脱壳工具FART的源代码版本,这里的"8.0"可能指的是该工具适配的Android系统版本或者是版本号。FART(Fast Android Resource Tool)通常用于Android应用的逆向...
FART12刷机脱壳记录笔记
Codeoooo 博客
12-25 1918
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
360(drizzleDumper)脱壳教程“某药数据”
weixin_47115747的博客
01-31 7753
360(drizzleDumper)脱壳教程“某药数据”
Fart12修复脱壳后的类
Codeooo 博客
01-04 789
不过话说为啥要修复类呢,因为fart12脱壳后,部分抽取壳未还原,需要进行二次修复。
360加固一键脱壳工具2020_「安卓逆向」360加固脱壳分析,手把手教你操作
weixin_39715290的博客
11-24 1万+
应很多粉丝说到的脱壳,现在就分享一个简单的脱壳图文教程,大家也可以先了解一下,对于有加固的软件都是需要先脱壳才能做逆向分析。那我们就先看一下这个加固是怎样脱壳的。首先直接看这个so库:拖入IDA静态看一下:发现看不到什么信息,原因很简单,因为被处理了;怎么办呢?通过010进行对so简单修改:拖入IDA,使用ELF.b进行识别:识别效果:头里面描述了有关节的信息:先修改节的偏移:这个三个:保存之后,...
360加固一键脱壳工具2020_加解密修行No.4——ESP定位经典脱壳手法
weixin_39559804的博客
11-23 1161
壳的作用无非两种,一个是压缩减小软件体积,另一个是加密阻止软件被逆向破解。既然有了加壳脱壳自然而然就产生了。这里提醒下几个主要的概念:OEP:Original Entry Point 就是源程序真正入口点,加壳目的就是为了隐藏它Dump:就是转存,在加壳程序中找到入口点,将内存中进程数据保存到硬盘里(普遍用的都是LordPE工具)IAT:Import Address Table 就是导入函数的地址...
实现通用脱壳机
08-09
本教程介绍了各种常见的加壳/脱壳的原理和技术,并给出了实现通用脱壳机的方法
手机app脱壳虚拟机镜像
06-01
分析这个360加固的app,开发者或安全研究人员通常会使用反编译工具(如Apktool、dex2jar)、动态调试器(如DDMS、 Frida)和虚拟机分析工具(如QEMU、Genymotion)。他们需要创建一个可以运行这个加密app的自定义...
安卓逆向学习笔记之FART中的脱壳点.docx
最新发布
03-25
安卓逆向学习笔记之FART中的脱壳点.docx
win10东方6-9全屏补丁_world_fart1q_东方project_
10-03
标题中的"win10东方6-9全屏补丁_world_fart1q_东方project_"表明这是一个针对Windows 10操作系统,适用于东方Project系列游戏的全屏补丁。"world fart1q"可能是补丁作者或者版本标识,而"东方project"是游戏系列的...
函数抽取脱壳工具 fart代码阅读
flygle~的博客
05-10 934
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发壳的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
Fart12配套批量修复二代函数抽取壳工具发布
大数据安全技术学习
02-06 8959
但是有些时候,使用滞后点dump下来的整体dex来修复的时候,竟然会出现修复失败的情况,那是因为有些壳在整体加载完成后,对内存中的dex结构,进行了一些破坏,以对抗一些整体dump的工具。理论上来讲,在二代函数体填充壳的脱壳过程中,其实不管哪个时机点dump下来的整体dex,应该内容是一模一样的,或者说在滞后一些的时机dump下来的dex,应该还比稍早时期dump的还要完整一些,因为在App的运行过程中会触发一些函数体的解密和还原。脱抽取壳,采用的是将类加载起来,再dump函数体到bin文件的方式。
烧机命令
crazyyangdan_的博客
11-06 5082
adb reboot bootloader fastboot oem unlock fastboot flash boot boot.img fastboot flash system system.img fastboot flash userdata userdata.img fastboot flash recovery recovery.img fastboot fl
【安卓逆向】360加固-脱壳修复
热门推荐
YJJYXM的博客
10-08 2万+
最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了壳代{过}{滤}理,没有一点原APK的代码。在assets中,有两个壳相关的SO: 尝试从内存中DUMP原cla...
FART脱壳机制作
nini_boom的博客
11-25 7760
几乎所有在APP应用平台的软件,都有壳,若想进一步逆向,查看APP的代码、加解密函数、或者逆向协议,第一步都是要脱壳脱壳的重要性不言而喻。 FBI Warnning 感谢寒冰、r0ysue大佬,大佬们的gayhub和个人主页在片尾。 原材料 谷歌亲儿子手机一部,pixel或者nexus任何版本都阔以,系统Android8.10 寒冰巨佬的fart文章,深入理解脱壳原理 r0ysue姐编译好的fart rom镜像,请放心食用。 过程 首先根据手机下载对应的rom包。 链接:https://pan.b.
LineageOS20+Pixel6 下的Fart8.0脱壳机迁移和编译流程
lvlay79的博客
09-06 3592
​ 之前将Fart8.0的代码编译到Android13下,运行发现在将Java的Method对象转换成C的ArtMethod对象时报错,没找到原因。再加上AOSP的系统太素了,就琢磨是否可以用LineageOS来编译,所以就有了这篇文章。
某app数据库密码逆向
qq_59848320的博客
08-26 1982
找了几个看了一下,发现没有大多。就在jadx里面找一下关键词key,iv,encrypt,decrypt等。找到aes加密代码,扣下载,在本地运行一下里面的decrypt函数代码。发现和一个和我下载下来数据库一样大小的db文件,看来就是这个了。开始我以为密码是动态变化的,后面发现不是,还抓包半天。开始我用的是夜神模拟器的安卓7版本,发现打不开app,可能是对模拟器有检测,后面我换了安卓5版本。我们在算法助手里面,打开防wifi检测,然后进行抓包。行了,今天就到这里了,这里就不贴成功的图了。.........

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值