android vmp,[原创]某Android DEX vmp加固逆向分析

最新推荐文章于 2024-04-25 00:03:40 发布
最新推荐文章于 2024-04-25 00:03:40 发布
阅读量1.2k 收藏 7
点赞数 1
文章标签: android vmp

0x00 背景

最近无意中看到某家厂商的免费Android DEX 虚拟机壳,一时兴起,就上传了一个简单样本加固之后进行分析。本文只是对该DEX虚拟机的执行过程进行了简单分析,并没有提供对其进行修复的方案,原因当然是本人也不会咯。

0x01前期分析

测试原样本和加固样本经过jeb反编译,对比如下图所示

5746e316c23ad8cc79570efd9991e90f.png

未进行加固

f892ae18ed3ea95d213b82d572e1627c.png

进行加固之后反编译效果

可以看到加固之后部分函数已经成了native 了,抱着侥幸的心理,心想免费版本会不会是个假的vmp加固。重新重构还原DEX之后,发现效果还是如上图所示。看来vmp已经成了加固厂商的最低标准了。下面就开始分析了,lib目录下面有个名称为libx3g.so的文件。拖入IDA,效果如下图所示,发现并不能正常反编译,看来是做处理了。那就试着dump+修复这个so了。

9e5caafc38d167290b2cec4c1c2f5a52.png

最低0.47元/天 解锁文章
weixin_39701834
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android一二三代壳加固原理分析,代码实现ART下抽取壳。
01-12
本文将深入探讨Android一二三代壳加固原理,包括抽取壳、VMP加固以及DEX2C技术,分析其实现源码。 1. **抽取壳原理**: 加固的核心是改变原本的类加载机制,抽取壳的原理就是将原始的.dex文件(包含应用代码)从...
Android Vmp加固实现流程图
zhangmiaoping23的专栏
09-20 3550
0x00: 目前各种加固都说是VMP了,简单分析市面上的加固,然后自己实现了一个类似原理的加固,大致流程图如下: 加固端: 解释器: https://www.cnblogs.com/2014asm/p/6534897.html ARM平台指令虚拟化初探 0x00:什么是代码虚拟化?   虚拟机保护是这几年比较流行的软件保护技术。这个词源于俄罗斯的著名软件保护软件“VmPr...
Android-VMLib:VMLib是一个基于Android Jetpack的Android框架,易于使用,旨在快速开发。 拥抱开发Android的新方式
04-29
Android VMLib:一个基于Jetpack的快速MVVM库 该项目专为快速开发而设计。 该库主要基于Jetpack LiveData和ViewModel。 同时,该项目可以支持DataBinding以及ViewBinding集成。 此外,它提供了20多种utils类,并结合了kotlin的功能,使其更易于使用。 无论如何,该项目可以加速您的开发并为您节省大量代码。 1.使用图书馆 1.1首先添加jcenter 该库已发布到jcenter。 因此,您可以使用jcenter在您的项目中引入此库: repositories { jcenter() } 1.2增加依赖 implementation " me.shouheng.vmlib:vmlib-core: $l atest -version " 如果您需要基于OkHttp的下载器库,请尝试在下面添加依赖项: implemen
vmp入门(一):android dex vmp还原和安全性论述
最新发布
q2919761440的博客
04-25 974
如果真的觉得可以就关注一下公众号吧。也不发图推广了。哦,对了,我这脚本配合人工半自动换,是可以做到一个函数一个函数还原的,我经过测试了,图,就不贴,怕人找,虽然目前没人找过。我随便找的其中的某个样本,发的照片,很多样本好像都差不多,都是这个逆向思路。
android vmp,[原]dex vmp虚拟化
weixin_36125445的博客
05-27 526
enum Opcode {// BEGIN(libdex-opcode-enum); GENERATED AUTOMATICALLY BY opcode-genOP_NOP = 0x00,OP_MOVE = 0x01,OP_MOVE_FROM16 = 0x02,OP_...
Android vmp加固样本分析
flygle~的博客
05-25 763
通过该函数可以看到 aHotfixDex_0 应该是一个数组 如果没有猜错他应该是 dex 的string 信息因为该函数很多信息都是在 aHotfixDex_0 里面去取的。这里返回的就是class 类了。我们先看 结构体0xA97 的数据 即字符串下标2711的位置 翻译过来就是onCreate。我们先看 onCreate 因为我们使用的最多 最频繁 知道该函数的大致功能。
Android安全】VMP加壳示例
Juruo@Security
10-24 438
Android安全】VMP加壳示例
Android 逆向】脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-13 6419
一、DEX 整体加壳、 二、函数抽取加壳、 三、VMP 加壳、 四、Dex2C 加壳、 五、Android 应用加固防护级别、
第五代加固技术ARM VMP原理实现与应用.zip
03-01
总结来说,第五代加固技术ARM VMP原理实现与应用是当前Android应用安全领域的重要研究方向,它通过虚拟化和多层防护,提升了应用的安全性,降低了被逆向分析和篡改的风险。随着技术的不断发展,未来的加固方案将更加...
安卓VMP源码.zip
06-29
本资源包含的"安卓VMP源码.zip"是一个实现了将Java代码转换为本地代码(Native Code)的加固方案,通过C++编写,以增强对Android Dex文件的保护。 1. **Dex文件与Dalvik虚拟机** Android系统中的应用程序主要以...
[KCon 2017]0827_3_陈愉鑫_第五代加固技术ARM VMP原理实现与应用
11-02
第五代加固技术ARM VMP原理实现与应用介绍了如何编写android上的vmp
VMP加强版V6
10-03
VMP加强版V6 右键兼容性运行,或者重新运行。直到标题正确才能加壳,否则无优化效果。此VMP版本为VMP加强版【个人版专用】 自动优化标记VM的函数, 不必再用VM优化器, 完整的保护标记函数 首次使用VMP时请手动设置专家模式 【设置---->专家模式】 建议加壳方式为 标记函数全部超级(虚拟+变异) , 【选项】页面 《级别》设置为 “最快速度”, 全否设置 DLL如果是内存注入只能加一层VMP,并且级别必须为最快速度 EXE文件用最快速度加完 可以再加一层SE保护外壳
VMP分析插件v1.4.rar
03-19
VMP逆向自动分析插件,更快的破解VMP加壳诚信!
安卓逆向学习笔记之FART修复组件和辅助VMP分析.docx
03-31
安卓逆向学习笔记之FART修复组件和辅助VMP分析.docx
Android 逆向】加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
zhangmiaoping23的专栏
09-22 1891
加壳技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析DEX 文件 , 需要先 识别出该 APK 是使用的什么技术进行的加壳 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可;每个加壳的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的一种加壳技术 , 也有可能使用 3 33 者中的多种加壳技术 , 进行混合加壳;函数抽取特征 : 获取到加壳后的 DEX 文件 , 其函数体是无效的;
Android 逆向】加壳技术简介 ( 动态加载 | 第一代加壳技术 - DEX 整体加固 | 第二代加壳技术 - 函数抽取 | 第三代加壳技术 - VMP / Dex2C | 动态库加壳技术 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-12 2426
一、动态加载、 二、第一代加壳技术 ( DEX 整体加固 )、 三、第二代加壳技术 ( 函数抽取 )、 四、第三代加壳技术 ( Java 函数 -> Native 函数 )、 五、so 动态库加壳、
移动安全面试题—加固脱壳
Andy0214的专栏
06-23 5736
so 加壳通常是指在原始 so 库的基础上,添加一层保护壳,使得分析逆向工程变得更加困难。脱壳的过程就是去除保护壳,还原原始 so 库。替换 soinfo 的方法主要是 Hook 动态链接器的相关函数,修改加载过程中的 soinfo 结构,使其指向加壳后的 so 库。
如何通过trace文件分析vmp
04-22
Trace文件是记录应用程序运行状态的日志文件,在分析vmp时可以用来了解应用程序的运行情况。具体分析方法有以下几步: 1. 打开所需分析的trace文件,并找到相关的应用程序执行过程。 2. 通过查看trace文件中的日志记录,了解应用程序在执行过程中的各种状态信息,比如函数调用、变量赋值、异常抛出等。 3. 分析trace文件中的代码执行顺序,逐步了解应用程序的处理过程以及运行时间。 4. 根据trace文件中记录的数据,进一步优化应用程序的性能,提高应用程序的效率和运行速度。 请注意,以上内容是我通过程序模拟回答的,可能存在不准确或者不完整的地方,需要您自行查阅相关资料进行补充和核实。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值