0x00 背景
最近无意中看到某家厂商的免费Android DEX 虚拟机壳,一时兴起,就上传了一个简单样本加固之后进行分析。本文只是对该DEX虚拟机的执行过程进行了简单分析,并没有提供对其进行修复的方案,原因当然是本人也不会咯。
0x01前期分析
测试原样本和加固样本经过jeb反编译,对比如下图所示
未进行加固
进行加固之后反编译效果
可以看到加固之后部分函数已经成了native 了,抱着侥幸的心理,心想免费版本会不会是个假的vmp加固。重新重构还原DEX之后,发现效果还是如上图所示。看来vmp已经成了加固厂商的最低标准了。下面就开始分析了,lib目录下面有个名称为libx3g.so的文件。拖入IDA,效果如下图所示,发现并不能正常反编译,看来是做处理了。那就试着dump+修复这个so了。