如何脱掉“梆梆加固”的保护壳

一、jadx分析
1.在source code中的包名看到是梆梆加固（得先脱壳了）

（哦！receiver可以用来提示请求获取permission）

2.清单文件看到利用了设备管理器权限，来强制修改了系统密码来做的，我们通过打开软件也可以确定这点：

看到了，他申请了设备管理器权限，而这个权限用过的同学都知道，当获取到这个权限之后可以控制这个设备了，包括修改系统密码。而这个软件也是利用这个权限来做到锁机的。

注意：对于这个权限还有一个重要作用，就是可以防止应用被卸载，现在很多应用为了防止自己被用户无情的卸载了，就用这个权限，可以看到这个应用申请了这个权限之后，卸载页面：

是不可以卸载的。从Android系统来说这个也是合乎情理的，因为这个应用具备了设备管理器权限如果能被卸载那是不可能的。所以有一些应用就利用这个功能来防止被卸载。

二、脱壳工具DexExtractor原理分析

先介绍如何脱掉梆梆的壳，因为如果这个壳不脱掉，没法分析他的恶意锁机的解锁密码。

本文借助一个脱壳工具DexExtractor,这个工具是开源的：这里写链接内容，这里给出了修改源代码。其实他的原理也很简单，就是修改系统的DexFile.cpp源码，在解析dex的函数开头处加上自己的dumpdex逻辑：

这里的DexHacker就是他自己定义的，这里的dexFileParse就是系统解析dex函数，从参数可以看到，有dex文件数据，大小等信息。所以就可以把这个dex文件弄出来了。然后修改完了这个系统的DexFile文件之后，需要将其编译到system.img镜像中，然后刷到手机中即可。
原来是修改了系统解从析dex文件的源码，进而脱壳
所以，从上面的原理可以了解到，他其实和我们之前用IDA动态调试的原理非常类似，脱壳就是一点：不管之前怎么对dex加密，最终都是需要解密加载到内存中的。所以只要找到加载dex这个点即可。那么这种方式和之前调试的方式有什么区别呢？

A、动态调试方便，无需其他限制，但是遇到反调试就会很难受了。得先解决反调试才可进行下一步脱壳。
B、刷入system.img这种方式可以不用关心反调试，但是条件太苛刻，使用成本较高。对于不同系统版本还要准备不同版本的system.img文件，然后将其刷到设备中。

1、可以选择刷入system文件
针对上面的这种条件的限制，我们有一种好的方式可以解决，就是借助模拟器，这样就不需要繁琐的将system.img刷到设备中了，可以将编译之后的system.img文件替换对应系统版本的模拟器镜像文件即可。然后重启模拟器。
2、可以选择替换系统libdvm.so文件
当然我们不刷机也是可以的，大神给出了编译之后的libdvm.so文件(他包含了DVM中所有的底层加载dex的一些方法)，其实只要编译修改后的libdvm.so文件，然后替换设备的system/lib目录下的libdvm.so文件即可，不过设备需要root，这种方式比上面的刷机system.img方便。
注意：libdvm.so文件包含了DVM中所有的底层加载dex的一些方法；libdvm.so在设备的system/lib目录下
三、DexExtractor工具使用条件
上面讲解了DexExtractor工具的原理，下面详细介绍他的用法。其实他的用法也很简单，把他的源码下载下来后，他还有一个解密工程DexReverse，这个是一个Java工程，为了解密dump出的dex文件的。那为什么要解密呢：还有这个工具dump出的dex文件在哪？下面就来详细介绍：

注意：strcat()
将两个char类型连接。
char d[20]=”GoldenGlobal”; char *s=”View”; strcat(d,s);
结果放在d中
printf（”%s”,d）；

sprintf指的是字符串格式化命令，主要功能是把格式化的数据写入某个字符串中。返回写入的字符个数。

看到DexHacker这个文件中，会将dex文件保存到sd卡中，而每个应用启动的时候都是在一个进程中创建一个虚拟机，所以这里如果想让这个工具可以dump出应用的dex文件，需要给这个应用添加一个写sd卡的权限：

这个比较简单，咱们可以利用apktool反编译应用，在AndroidManifest.xml添加这个权限，在回编译即可。

那么dump出dex文件之后为何还要解密呢？这个主要是为了对抗加固策略：

现在一些加固平台，比如梆梆加固，会对dex的内存dump脱壳进行检测，具体的就是hook修改当前进程的read、write读写相关的函数，一旦检测到read，write读写相关的函数的操作中有对dex文件的dump行为会有对抗的处理，防止dex的内存dump，因此呢，DexExtractor脱壳工具的作者为了过掉这种内存dump的对抗，需要先将原始的dex文件数据进行base64加密然后进行写文件到sdcard中进行输出，当pull导出拿到base64加密的dex文件时还需要进行base64的解密才能获取到原始的dex文件。这个解密工具也在工具目录下Decode.jar，用法java -jar Decode.jar dexdir；这里需要注意的是，dexdir是我们pull出dex之后的目录，记住是目录，不是对应得dex文件哦！
四、DexExtractor工具使用步骤
到这里分析完了DexExtractor工具的原理，使用条件，使用步骤了，下面实践：

第一步：替换system.img文件

用上面修改之后的system.img文件替换4.4的system.img文件，文件目录：AndroidSDK目录\system-images\android-19\default\armeabi-v7a\system.img

最好把之前的system.img文件进行改名备份。然后启动模拟器即可。

第二步：添加写SD卡权限

上面说到了，因为这个工具需要将dump出的dex文件写到SD卡中，所以我们需要检查脱壳应用是否具备写SD卡权限，我们用Jadx工具打开这个应用，发现没有，所以我们需要用apktool工具反编译，然后在AndroidManifest.xml中添加，然后在回编译重签名即可。

第三步：安装应用观察日志

安装应用到模拟器，因为是模拟器，可能操作比较麻烦，所以这里需要借助两个命令可以完美的安装启动应用即可，一个是adb install xxx.apk，安装成功之后。

在启动应用：adb shell am start -n tx.qq898507339.bzy9/tx.qq898507339.bzy9.MainActivity

无需任何界面操作即可完成启动应用，然后查看这个包名对应的日志信息，日志tag是dalvikvm：

在这些日志中可以看到脱壳之后的dex文件放在sd中，咋们把这个文件pull出来即可：

adb pull /sdcard/tx.qq898507339.bzy9_classes_927104.dex D:\DexExtractor\

这时候我们离成功就不远了，得到了脱壳后的dex文件了，但是我们还需要进行解密。

注意：这里记得观察“create file end” 字段内容，有的应用可能内部本身有加载dex的逻辑，所以这里会发现有多个dex文件的产生，不过没关系，可以把所有的dex文件都导出本地，然后分析即可。

前面说过了，为了应对现在加固平台的检测，DexExtractor工具将dex进行加密了，可以利用Decode.jar工具进行解密：java -jar Decode.jar D:\DexEctractor\

jadx和dex2jar转化的时候报错了，说这个dex是odex文件。关于odex格式文件不多解释了，可自行搜索哈。jadx现在还不能识别odex文件的，这里好奇用IDA打开一下，发现竟然可以成功，所以IDA还真强大哈！

第四步：odex文件转化成dex文件
但是咋们用jadx用惯了，所以还是想用jadx打开它，其实我们只需要将odex转化成dex即可，这里借助了smali.jar工具了，我们先用baksmali.jar将odex文件反编译成smali文件，然后在用smali.jar将smali文件编译成dex文件即可。这两个工具用法比较简单：

把c:\classes.dex反编译为smali，输出到c:\classout目录

java -jar baksmali-2.0.3.jar -o c:\classout/ c:\classes.dex

把c:\classout目录下的smali文件编译为c:\classes.dex
java -jar smali-2.0.3.jar c:\classout/ -o c:\classes.dex

就用上面这两个工具可以把odex文件变成dex文件，然后在用jadx工具打开即可：

在前面查看xml文件中可以找到设备管理器声明的类jh，

这里直接查看源码，果然当获取到设备管理器权限之后，立马将锁屏密码设置为：>>>qq 898507339 bzy>>> ，然后立即锁屏。锁屏之后，你不能通过重启来解决，因为这种恶意软件肯定监听到了开机广播：

所以这时候，受害者只能通过提示来进行付费解锁了。或者自己刷机操作了。付费的逻辑比较简单，通过加qq，然后恶意者会让你付费，给完钱之后他会用电话号码：18258614534，给你发送一条短信，代码中监听到有这条短信就自动解锁，也就是将锁屏密码清空即可：

总结：
1.由jadx在source code看到“梆梆加固”；
2.运行会看到请求“设备管理器权限”，并在清单中看到receiver的jh类中有申请“设备管理器权限”；
3.使用大神的开源工具获取dex；
3.1由源码知道需要获取sdcard的写权限
3.2获取的dex是先进行base64加密的，是对抗加固方的dex文件读写检查，所以得到的dex需要再解密，实践证明不能直接使用；
3.3得到的是odex文件需要baksmali然后smali回得到dex文件；
3.4再使用jadx得到java文件；
3.5看到是获取到权限后直接锁机，并且加入了重启广播；
3.6收到某某号码的短信后就清楚锁机。