android 脱壳 虚拟机,一种基于Android虚拟机的沙箱脱壳方法及系统与流程

最新推荐文章于 2024-04-30 13:02:09 发布
最新推荐文章于 2024-04-30 13:02:09 发布
阅读量1.1k 收藏
点赞数
文章标签: android 脱壳 虚拟机

f90f7bf66da34681d6a18cbfef8f5663.gif

技术特征:

1.一种基于Android虚拟机的沙箱脱壳方法,其特征在于,包括以下步骤:

启动Android虚拟机,将系统的类加载器替换为预定义类加载器,加载用于沙箱脱壳的自定义Android虚拟机代码包,得到可执行Android脱壳代码的运行环境,其中,所述自定义Android虚拟机代码包用于为应用程序执行提供接口,并为脱壳流程提供入口;

在虚拟机中读取待脱壳的目标应用的包名和主Acitivity名,并根据包名和主Acitivity名构建目标应用的上下文环境和资源访问接口;

构架目标应用的资源访问接口,模拟目标应用的正常执行流程,将与目标应用匹配的上下文环境传递进目标应用的启动参数中,在沙箱中对目标应用进行程序代码解密,得到目标应用的程序代码。

2.一种基于Android虚拟机的沙箱脱壳系统,其特征在于,包括:

执行控制模块,用于启动Android虚拟机,将系统的类加载器替换为预定义类加载器,加载用于沙箱脱壳的自定义Android虚拟机代码包,得到可执行Android脱壳代码的运行环境,其中,所述自定义Android虚拟机代码包用于为应用程序执行提供接口,并为脱壳流程提供入口;

系统框架模块,在虚拟机中读取待脱壳的目标应用的包名和主Acitivity名,并根据包名和主Acitivity名构建目标应用的上下文环境和资源访问接口;

脱壳模块,构建目标应用的资源访问接口,调用目标应用执行入口,模拟目标应用的正常执行流程,将与目标应用匹配的上下文环境传递进目标应用的启动参数中,在沙箱中对目标应用进行程序代码解密,得到目标应用的程序代码。

3.根据权利要求1所述的方法或权利要求2所述的系统,其特征在于,启动Android虚拟机时还包括构建应用执行所需的基本接口的方法,该方法包括以下步骤:

创建虚拟机对象,在内存结构中初始化用于查找类的缓存;

在虚拟机中创建用于构建基本接口的基础类;

加载Android系统框架层代码包,根据基础类构建Android应用执行时能够直接调用的基本接口。

4.根据权利要求1所述的方法或权利要求2所述的系统,其特征在于,将系统的类加载器替换为预定义类加载器的方法为:

Android虚拟机启动时指定系统的类加载器的全局变量,判断系统查找类的方式;

若为无类加载器的方式,在全局变量中指定自定义Android虚拟机代码包,并查找类;

若为使用类加载器的方式,构造预定义类加载器并替换系统的类加载器,通过该预定义的类加载器查找自定义Android虚拟机代码包的路径,加载自定义Android虚拟机代码包。

5.根据权利要求1所述的方法或权利要求2所述的系统,其特征在于,自定义Android虚拟机代码包的实现方法为:

获取自定义Android虚拟机代码包的jar文件,存放到与目标应用同名的DexFile结构体中;

将DexFile结构体存放到全局的ClassPath扩展变量中;

执行查找系统类的流程,从全局变量中通过类名查找系统类;从全局的扩展变量中查找自定义Android虚拟机的类,并将其添加到哈希表中,下次查找该类时直接从哈希表中获取;

若为自定义Android虚拟机未实现的类,从全局变量中的系统类进行替换;若为与系统类同名的类,用自定义Android虚拟机的类替换系统类。

6.根据权利要求1所述的方法或权利要求2所述的系统,其特征在于,所述模拟的目标应用的程序代码在内存中的存放形式为DexFile结构体,包括dex文件内存映射指针,dex文件各区域地址指针和区域大小,以及执行时期直接相关的结构体DexClassDef和Method。

7.根据权利要求6所述的方法,其特征在于,在沙箱中对模拟的目标应用进行程序代码解密的方法为:

获取与目标应用同包名的DexFile结构体;

修复内存映射文件的dex文件魔术字段,内存区域地址指针根据连续性偏移大小计算指针位置;

根据模拟的目标应用的类找到DexClassDef结构体,获取真实的类代码,并修复区域大小;

根据模拟的目标应用的类找到Method结构体,修复单个函数的代码区域,并修复区域大小;

根据修复后的代码区域,修复dex文件结构的头部,得到完整的解密的程序代码。

8.根据权利要求6所述的系统,其特征在于,在沙箱中对模拟的目标应用进行程序代码解密的方法为:

获取与目标应用同包名的DexFile结构体;

修复内存映射文件的dex文件魔术字段,内存区域地址指针根据连续性偏移大小计算指针位置;

根据模拟的目标应用的类找到DexClassDef结构体,获取真实的类代码,并修复区域大小;

根据模拟的目标应用的类找到Method结构体,修复单个函数的代码区域,并修复区域大小;

根据修复后的代码区域,修复dex文件结构的头部,得到完整的解密的程序代码。

9.根据权利要求1所述的方法或权利要求2所述的系统,其特征在于,所述的Android虚拟机为dalvik虚拟机。

胡萝卜伞
关注
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3112
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6384
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
Android通用脱壳机FUPK3
weilailu001的博客
08-23 1585
这次要发的作品是我以前写的一个脱壳机FUPK3,这个脱壳机的思路应该是以前没人放过的,这里我不私藏了,放出来给大家来评评。 Android代码是开源的,那么通过直接修改Android源码,把运行时的所有dex数据dump出来,不就可以实现一个通用的脱壳机了吗?FUPk3就是基于上面的思路来实现的。FUPK3需要修改Android源码,导出数据接口.不过,最为核心的脱壳操作是在一个so中执行的,...
可用于安卓android模拟器上的脱壳工具(可执行文件,chmod777后,直接运行)
01-22
转载自大神的工具,很好用,功能强大,此为可执行文件
CTF 安卓脱壳工具大全
07-10
安卓脱壳已经安卓反编译工具,全部集成一套。这里推荐逍遥模拟器,十分方便快捷,然后在安卓中脱壳成功,一般模拟器是root 模式 所以可以减去很多麻烦的东西。
android虚拟应用沙箱,基于虚拟化及重定向技术的Android沙箱设计与实现
weixin_39631649的博客
05-27 288
The design and implemention of Android sandbox based on vitualization and redirection technologyCUI Haina12崔海娜(1991-),女,北京邮电大学硕士研究生,主要研究方向:终端安全ZHANG Tianle12张天乐(1977-),男,副教授、硕导,主要研究方向:终端安全1、School of ...
Android中的沙箱模型
weixin_34253126的博客
08-27 339
原文请见:http://mobile.51cto.com/abased-354672.htm     沙箱模型是业界保证系统安全的关键安全技术,已经在浏览器等领域得到了成功应用。作为优秀的开源移动平台操作系统Android也有相应的沙箱模型,本文将对其进行介绍。   一、沙箱模型原理简介 现实中的沙箱(SandBox),是一种儿童玩具,类如KFC中一个装满小球...
1000多个脱壳脚本打包
09-20
脱壳技术主要包括静态分析和动态分析两种方法。静态分析是通过不执行程序来分析其内部结构,如反汇编代码、查找加密或混淆的段落。动态分析则是在受控环境中运行程序,观察其行为以理解其功能,这通常需要更高级的...
利用AI+大数据的方式分析恶意样本(十八)
至臻求学,胸怀云月
11-19 528
一篇关于静态分析,机器学习,加壳种类的顶会文章阅读笔记
恶意样本分析流程记录
weixin_42877778的博客
01-15 3105
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
Android脱壳工具
12-19
drizzledumper Android逆向脱壳工具,百分百能脱360壳,时间2018年,以后不保障
Android终极脱壳
09-27
The Terminator to Android Hardening Services Outline Background DexHunter Analysis of major products Related work Dex File Java source code -> Java class -> dex Java class: each file contains one class dex: one file contains all classes Reorganize constant pools in each class file into shared and type-specific constant pools ...
Android通用脱壳机FUPK3脱壳机镜像(电脑模拟器用),镜像集成root权限
09-04
Android通用脱壳机FUPK3脱壳机镜像(电脑模拟器用),镜像集成root权限,F8LEFT脱壳机镜像
手机app脱壳虚拟机镜像
06-01
这是我破解一个360加固的app所用到的虚拟机的镜像。使用方式可以参见我的文章https://blog.csdn.net/jinking01/article/details/80533522
一款惊艳的Android脱壳工具
2401_84004024的博客
04-12 2944
今天给大家带来的项目是:dumpDex-Android脱壳有加密就有解密,Android的App也是如此。市面上有很多加壳工具,比如梆梆、爱加密、乐固等,有收费的也有免费的,还有就是公司自己研发的给公司内部App使用的加密工具。我们今天介绍的是怎么给加了壳的App脱壳,这里用到的工具是dumpDex。插件需要在xposed环境中使用,支持市面上大多数加密壳,软件仅供学习用,请勿用于其他用途,项目不是成品,可能会引起软件崩溃.
X8沙箱是一款使用虚拟化技术实现的安卓手机虚拟机APP
最新发布
weixin_43101805的博客
04-30 454
【软件简介】X8沙箱是一款使用虚拟化技术实现的安卓手机虚拟机APP,支持一台手机同时运行多个安卓系统。【软件包名】cn.v8box.app。导语:一台专用于游戏的强大虚拟机。【特殊说明】无需登录使用会员功能。【软件大小】337.43MB。【软件版本】1.2.6。【开发代号】12006。【软件名称】X8沙箱
常用的android脱壳工具,Android万能脱壳
weixin_39559382的博客
05-25 1731
我本人一般不习惯也不喜欢发帖子,但是看着身边人经常说自己在哪里哪里发过什么原创帖子,感觉没发过几个原创帖子都不好意思在社会上混了。很多人觉得Android加固很牛逼,试着用各种方法去研究,然后弄个脱壳机,牛不牛逼咱不知道,写个脱壳机还是可以的。Android加固分为Dex加固和so加固,我这里只给出脱dex的方法,本人声明仅用于学习交流目的,你们不要用它搞破坏,本人对此概不负责!!!下面提供两种方...
【移动安全基础篇】——22、Android dvm 脱壳
Fly_鹏程万里
01-14 575
1.  查壳 查入口:AndroidManifest -> application 标签 2. Assests  分析 Assests 中一般储存着加密过的 dex 以及解密用的 so 等信息,因此先分析 Assests 可以有 效获取程序解壳思路 3. ProxyApplication  分析 1)  查找 so 文件并修复分析 2)  native 函数记录 3)  解码函数定...
Android恶意代码动态分析:基于沙箱系统与有效性验证
本文深入研究了这个问题,提出了一个基于虚拟机层的动态分析技术,它与传统静态分析不同,通过主动监控和记录恶意程序的运行行为,捕捉恶意代码在执行过程中的关键动作。作者设计了一套新的基于沙箱Android恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值