dumpDex 脱壳原理

最新推荐文章于 2024-04-22 09:53:14 发布
最新推荐文章于 2024-04-22 09:53:14 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: Android脱壳
原文链接:http://www.liteng1220.com/blog/articles/dumpdex-principle/
版权

使用文章:http://martinhan.site/2018-12-13/Android%E9%80%86%E5%90%91%E4%B9%8B%E8%B7%AF---%E8%84%B1%E5%A3%B3360%E5%8A%A0%E5%9B%BA%E3%80%81%E4%B8%8Exposed%20hook%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A1%B9.html

 

dumpDex , 一个开源的 Android 脱壳插件工具,需要在 Xposed 环境中使用,支持市面上大多数加密壳,这里我们将分析 dumpDex 的脱壳原理……

准备事项

  • Android Studio v3.1

原理分析

这里假设我们已经了解 Xposed 相关的知识,如果还未了解的,可以先查看这篇文章

源码导入

打开 Android Studio ,新建项目,以 git 方式将 dumpDex 项目源码 clone 到本地。
导入后的项目结构如下图所示。

源码分析

首先要找到入口类,因为该项目是一个 Xposed 插件,所以先看 assets 文件夹里的 xposed_init 文件。

com.wrbug.dumpdex.XposedInit

这里的 XposedInit 就是入口类了。

点击进入查看 XposedInit 源码。

public class XposedInit implements IXposedHookLoadPackage {

    ......

    @Override
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) {
        PackerInfo.Type type = PackerInfo.find(lpparam);
        if (type == null) {
            return;
        }
        
        final String packageName = lpparam.packageName;
        if (lpparam.packageName.equals(packageName)) {
            String path = "/data/data/" + packageName + "/dump";
            File parent = new File(path);
            if (!parent.exists() || !parent.isDirectory()) {
                parent.mkdirs();
            }
            log("sdk version:" + Build.VERSION.SDK_INT);
            if (Build.VERSION.SDK_INT >= 26) {
                OreoDump.init(lpparam);
            } else {
                LowSdkDump.init(lpparam,type);
            }
        }
    }
}
public class PackerInfo {
    private static List<String> sPackageName = new ArrayList<>(); // 存放支持的加密壳的包名
    private static Map<String, Type> sTypeMap = new HashMap<>(); // 存放加密壳的包名及其名称
    
    ......

    public static Type find(final XC_LoadPackage.LoadPackageParam lpparam) {
        for (String s : sPackageName) {
            Class clazz = XposedHelpers.findClassIfExists(s, lpparam.classLoader);
            if (clazz != null) {
                Type type = getType(s);
                return type;
            }
        }
        return null;
    }

    private static Type getType(String packageName) {
        return sTypeMap.get(packageName);
    }

    public enum Type {
        QI_HOO("360加固"), AI_JIA_MI("爱加密"), BANG_BANG("梆梆加固"), TENCENT("腾讯加固"), BAI_DU("百度加固");

        ......
    }

}

首先检测当前运行的 APP 是否存在 dumpDex 支持的加密壳,如腾讯乐固、360加固等,如果没找到则不进行任何处理,找到了则进行脱壳,并将脱壳后的 dex 文件存放到 APP 所在路径的 dump 子文件夹里。

脱壳过程视 Android 手机的版本而定,分为两种处理方式:

  1. Android 8.0 ( SDK 26 )及以上的手机,调用
    OreoDump.init() 方法进行处理,这部分是通过 NDK 实现的。
  2. 其它低版本的手机,调用 LowSdkDump.init() 方法进行处理,这部分是通过 Hook 实现的。

这里我们只对第2种方式进行源码分析,至于第1种方式,后面有时间再追加了,有兴趣的小伙伴可以自行研究。

public class LowSdkDump {

    ......

    public static void init(final XC_LoadPackage.LoadPackageParam lpparam, PackerInfo.Type type) {
        if (type == PackerInfo.Type.BAI_DU) {
            XposedHelpers.findAndHookMethod("com.baidu.protect.CrashHandler", lpparam.classLoader, "uncaughtException", Thread.class, Throwable.class, new XC_MethodHook() {
                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    param.setResult(null);
                }
            });
        }
        
        XposedHelpers.findAndHookMethod("android.app.Instrumentation", lpparam.classLoader, "newApplication", ClassLoader.class, String.class, Context.class, new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                dump(lpparam.packageName, param.getResult().getClass());
                attachBaseContextHook(lpparam, ((Application) param.getResult()));
            }
        });
    }
    
    ......
    
}

init() 先检测是否为百度加固,如果是,拦截其 uncaughtException() 方法。这里猜测百度在该方法里做了一些特殊处理导致无法正常脱壳,所以才进行拦截,有知道详情的小伙伴也可留言说明一下。

然后 Hook 了 android.app.Instrumentation 类里的 newApplication() 方法,也就是说,当该方法被调用时,插件会在该方法被调用之后调用 dump() 和 attachBaseContextHook() 这两个方法。

Instrumentation 的 newApplication() 方法,在 Activity 启动时会被调用,关于 Activity 启动过程,查看这篇文章

这里为啥要 Hook Instrumentation 类的 newApplication() 方法呢?这就涉及到 Android APK 加固原理了,一般进行加固的壳软件,都有自己的一个 Application 类,然后把源 APK 里的 Application 类给隐藏掉,所以该壳软件在运行加固后的 APK 时,要先进行脱壳,加载源 APK 里的 Application ,而加载 Application 一定会调用 newApplication() 方法,所以 Hook 这个方法是一个不错的选择。

关于 APK 的加固原理,后面将新开文章示例说明。

TODO: APK 加固原理

接下来先看看 dump() 方法及其相关类:

private static void dump(String packageName, Class<?> aClass) {
    Object dexCache = XposedHelpers.getObjectField(aClass, "dexCache");
    Object o = XposedHelpers.callMethod(dexCache, "getDex");
    byte[] bytes = (byte[]) XposedHelpers.callMethod(o, "getBytes");
    String path = "/data/data/" + packageName + "/dump";
    File file = new File(path, "source-" + bytes.length + ".dex");
    if (file.exists()) {
        return;
    }
    FileUtils.writeByteToFile(bytes, file.getAbsolutePath());
}
public final class Class<T> implements Serializable, AnnotatedElement, GenericDeclaration, Type {

    ......
    
    /**
     * DexCache of resolved constant pool entries. Will be null for certain runtime-generated classes
     * e.g. arrays and primitive classes.
     */
    private transient DexCache dexCache;
    
}

 

final class DexCache {
    
    ......
    
    Dex getDex() {
        Dex result = dex;
        if (result == null) {
            synchronized (this) {
                result = dex;
                if (result == null) {
                    dex = result = getDexNative();
                }
            }
        }
        return result;
    }
}
public final class Dex {
    private ByteBuffer data;

    ......

    public byte[] getBytes() {
        ByteBuffer data = this.data.duplicate(); // positioned ByteBuffers aren't thread safe
        byte[] result = new byte[data.capacity()];
        data.position(0);
        data.get(result);
        return result;
    }
}

dump() 首先通过反射获得 Class 类里的 dexCache 变量,该变量是一个 DexCache 类,然后通过 DexCache 类里的 getDex() 方法获得一个 Dex 类的实例,接着调用 Dex.getBytes() 方法得到字节数组,最后将这些数据导出到一个 dex 文件里,该文件位于 APP 所在路径里的 dump 子文件夹里。

其实就是通过反射获取类所在的 dex 的数据,导出到特定的 dex 文件里。

最后看看 attachBaseContextHook() 方法:

private static void attachBaseContextHook(final XC_LoadPackage.LoadPackageParam lpparam, final Application application) {
    ClassLoader classLoader = application.getClassLoader();
    XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, boolean.class, new XC_MethodHook() {
        @Override
        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
            log("loadClass->" + param.args[0]);
            Class result = (Class) param.getResult();
            if (result != null) {
                dump(lpparam.packageName, result);
            }
        }
    });
    XposedHelpers.findAndHookMethod("java.lang.ClassLoader", classLoader, "loadClass", String.class, boolean.class, new XC_MethodHook() {
        @Override
        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
            log("loadClassWithclassLoader->" + param.args[0]);
            Class result = (Class) param.getResult();
            if (result != null) {
                dump(lpparam.packageName, result);
            }
        }
    });
}

attachBaseContextHook() 主要就是 Hook 了 ClassLoader 类的 loadClass() 方法,然后也是调用 dump() 方法将 dex 数据导出到特定的 dex 文件里。

这里为啥又要 Hook ClassLoader 类的 loadClass() 方法呢?因为壳软件在脱壳时必须重新加载源 APK 的入口 Activity ,而这种加载方式,要通过这个 loadClass() 方法来实现的。

关于 Activity / Class 的动态加载,后面将新开文章讲讲。

TODO: Android 动态加载

【优化建议】

其实在调用 dump() 方法之前,可以通过以下代码比较包名,看当前调用的类是不是在特定的包里,仅当加载的 Application 或 Activity 为当前运行的 APP 类时才进行 dex 的导出。

if (!param.args[0].toString().startsWith(lpparam.packageName)) {
    return;
}

这样可以减少生成的 dex 文件数。

总结与声明

总结

整个脱壳流程如下:

  1. 根据类名查找当前运行的 APP 是否存在支持的加密壳;
  2. 存在支持的加密壳的情况下,根据手机的 Android 版本进行不同的处理,Android 8.0 及以上手机走 NDK 方式,其它低版本手机则走 Hook 方式;
  3. Hook 方式,主要是通过 Hook Instrumentation 类的 newApplication() 方法和 ClassLoader 类的 loadClass() 方法,获取 Application 或 Activity 所在的 dex 的数据;
  4. 将这些数据导出到 APP 所在路径的 dump 子文件夹里的 dex 文件。

 

分析Native层文章:

https://blog.csdn.net/hanchaohao2012/article/details/85086477

双刃剑客
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xposed插件dumpdex .apk
06-10
基于xposes编写的插件, 可市面上大部分, 手机必须安装xposed框架才可以使用, 安装好插件之后重启手机激活插件, 启动要的apk, 成功的话会将出来的文件放在apk包目录下的dump文件夹中
菜鸟的基础知识(二) ——DUMP的原理
banhanjun1518的博客
07-05 617
菜鸟的基础知识(二)——DUMP的原理当外的执行完毕后,会跳到原来的程序的入口点,即EntryPoint,也可以称作OEP!当一般加密强度不是很大的,会在的末尾有一个大的跨段,跳向OEP,类似一个与程序入口点的“分界线!当我们到达了程序的OEP,我们就需要进行DUMP程序了,那么什么时候去DUMP一个程序呢?这里我引用了fly的一句话!“手动理想的最佳dump时机...
探秘dumpDex:Android反编译利器
gitblog_00078的博客
04-22 242
探秘dumpDex:Android反编译利器 项目地址:https://gitcode.com/a813630449/dumpDex 项目简介 dumpDex是一个小巧而强大的开源工具,专为Android开发者和逆向工程师设计,用于快速、便捷地从APK文件中提取出Dex(Dalvik Executable)代码。此项目的目的是帮助用户对Android应用进行深入理解和分析,无论是为了调试、安全检测...
Android安全–一次简单的Dump dex实践
林海
07-06 7367
这篇是参考别人自己进行的一次简单的实践,主要是为了了解的流程以及工具的使用。 下面直接进入正题吧: 例子下载地址: 链接: http://pan.baidu.com/s/1c08Ufeg 密码: n8dc 首先把apk后缀改成.zip打开,发现dex文件只有1.23kb,所以真正的代码肯定不在这里,而是在运行中解密出来动态加载的。 话不多说,直接上工具,首
dumpDex教程
weixin_42454310的博客
12-09 1033
原文地址:https://www.cnblogs.com/CYCLearning/p/12013405.html
适配android9.0的dumpdex
02-22
标题提到的"适配android9.0的dumpdex"意味着这个版本的dumpdex已经针对Android 9.0 Pie进行了优化和修改,确保它在这个版本的系统上可以正常运行并完成操作。 ""(Decapsulation)在Android应用开发中,...
详解ILProtector并写出机,比较详细的文档说明方法原理
10-28
本文将深入探讨ILProtector的工作原理,并逐步指导如何编写一个简单的机,以便对这一保护机制进行理解。 1. ILProtector的工作原理: ILProtector的核心在于其混淆技术。在.NET环境中,源代码编译后生成MSIL...
Dumpdex编译后的apk
11-11
dumpDex , 一个开源的 Android 插件工具,需要在 Xposed 环境中使用,支持市面上大多数加密(实测360加固、腾讯乐固、梆梆加固、百度加固均可)。 dumpDex需要依赖于Xposed 框架才能发挥作用。 Dumpdex...
Themida - Winlicense Ultra Unpacker 教程
最新发布
05-08
脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
使用dumpDexapp
qq_32562005的博客
11-11 3782
使用dumpDexapp 简介 dumpDex , 一个开源的 Android 插件工具,需要在 Xposed 环境中使用,支持市面上大多数加密(实测360加固、腾讯乐固、梆梆加固、百度加固均可)。 dumpDex需要依赖于Xposed 框架才能发挥作用。 Xposed ,一款可以在不修改 Android APK 的情况下影响程序运行的框架,可用来动态劫持任意 APP ,对于逆向破解有很大的帮助,像微信的自动抢红包功能,也是出自于 Xposed 框架。 由于Xposed 需要手机root权限的
Android中dump出dex文件
06-07
Android中dump出dex文件
UE4Dumper:虚幻引擎4 Dumper-转储libUE4.so并生成Structure SDK
04-30
UE4Dumper(虚幻引擎4自卸车) 适用于Android设备的Unreal Engine 4 Dumper,从游戏进程内存中转储libUE4.so,并在Android中生成受支持游戏的Structure SDK。 您可以在找到最新的Dumped SDK 变更日志 v0.1:首次发布 v0.2:添加了实验性的64位支持 v0.3: 解决转储SDK期间的对象迭代问题 增加了对解析数组,集合和地图结构的支持 v0.4: 扩展的64位支持, 修复了64位库重建问题 为64位库添加了新的Elf Dump Fix 使用GWorld向Dump SDK添加了选项 更新的用法文字 v0.5:新增了对解析功能的支持 v0.6: 添加了对UE 4.23+游戏的字符串和对象的支持(使用新选项:--newue) 添加了64位偏移以修复64位支持 更新了SDK生成方法以实现更快的转储 由于与新选项冲
[1197]工具dumpDex、frida_dump、BlackDex
周小董
05-20 1404
dumpDex: 一个开源的 Android 插件工具,需要xposed支持。可以用来掉当前市场上大部分的。(360加固、腾讯乐固、梆梆加固、百度加固均可)支持大多数xposed环境的手机,暂不支持模拟器github地址:https://github.com/WrBug/dumpDex,可以直接下载release的apk,也可以自行编译打包成apk安装到手机。
工具:dumpDex的使用详解
热门推荐
数据知道的博客
09-04 2万+
一个开源的 Android 插件工具,需要xposed支持。可以用来掉当前市场上大部分的
使用 frida+dexdump对apk
菜鸡小白的成长记录
03-31 1万+
1.发展背景 转载注明出处: APP 加固发展到现在已经好几代了,从整体加固到代码抽取到虚拟机保护,加固和的方案也逐渐趋于稳定。随着保护越来越强,机们也变得越来越费劲,繁琐。但是毕竟道高一尺,魔高一丈,市面上有很多手段可以进行操作今天介绍的是使用Frida的一个脚本来dump apk的Dex。 2.原理 得益于FRIDA, 在 PC上面进行内存搜索、转储都变得十分方便,再也不需要考虑什么Xposed、什么Android开发、什么代码注入,只需要关注如何去搜索想要的东西,于是依赖一个几十行代码
记录win10安装Dexdump并
爬楼梯的巨人的博客
05-25 2004
安卓Dexdump
Xposed+DumpDev/FDex2安卓
qq_41945550的博客
08-10 4791
安卓 工具,环境 dumpdex+Xposed+Android6.0.1+ES文件浏览器 模拟器:mumu(因为需要root) 3.安装DumpDex。(神器) 打开https://github.com/WrBug/dumpDex, 从这个页面下载APK安装包,或者直接下载源码进行编译项目到手机上。 注意在下载源码进行编译时,你可能会遇到签名问题和Run configuration配置问题。但都容易解决。配置问题解决方法:Run configuration中Launch Options选项选为Not
DexDump使用和解析
Tesi1a的充电桩
03-06 4768
背景因为毕设是,就借鉴http://cb.drops.wiki/drops/tips-9214.html 乌云上的这篇上交的大牛机的思路,卡在那里了我们的第一个反应是有没有现成的程序,可以去翻译Dalvik字节码的,但是以读入内存中的DexFile结构体为输入,同时可以直接基于源码实现,也就是用C/C++实现的,而不是像更多的静态逆向工具直接以读入一个静态DEX文件为输入。找了下发现A
confuserex
01-16
是指将被此类混淆工具保护的程序集进行反混淆,使其恢复原来的源代码以进行分析或修改。 要对confuserex进行,通常需要使用一些特定的工具或脚本来解除其混淆。首先,需要确定所使用的confuserex版本,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值