百度加固逆向分析—dex还原--二代抽取壳

最新推荐文章于 2024-04-25 00:03:40 发布
最新推荐文章于 2024-04-25 00:03:40 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Android脱壳
原文链接:https://bbs.pediy.com/thread-218891.htm
版权

上回说过要再写一篇文章,这里跟大家分享一下百度壳DEX的dump与修复。

下面开始:

一、如何获取dex

    首先,我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个:

    dvmDexFileOpenFromFd  从文件描述符获取DexFile结构体

    dvmDexFileOpenPartial    从内存获取DexFile结构体

    百度这里用的是dvmDexFileOpenFromFd,通过这个函数我们得到了pDexFile

int dvmDexFileOpenFromFd(int fd, DvmDex** ppDvmDex)
{
    DvmDex* pDvmDex;
    DexFile* pDexFile;
    MemMapping memMap;
    int parseFlags = kDexParseDefault;
    int result = -1;
    if (gDvm.verifyDexChecksum)
        parseFlags |= kDexParseVerifyChecksum;
    if (lseek(fd, 0, SEEK_SET) < 0) {
        ALOGE("lseek rewind failed");
        goto bail;
    }
    if (sysMapFileInShmemWritableReadOnly(fd, &memMap) != 0) {
        ALOGE("Unable to map file");
        goto bail;
    }
    pDexFile = dexFileParse((u1*)memMap.addr, memMap.length, parseFlags);//这里获取了pDexFile
    if (pDexFile == NULL) {
        ALOGE("DEX parse failed");
        sysReleaseShmem(&memMap);
        goto bail;
    }
    pDvmDex = allocateAuxStructures(pDexFile);
    if (pDvmDex == NULL) {
        dexFileFree(pDexFile);
        sysReleaseShmem(&memMap);
        goto bail;
    }
    /* tuck this into the DexFile so it gets released later */
    sysCopyMap(&pDvmDex->memMap, &memMap);
    pDvmDex->isMappedReadOnly = true;
    *ppDvmDex = pDvmDex;
    result = 0;
bail:
    return result;
struct DexFile {
    /* directly-mapped "opt" header */
    const DexOptHeader* pOptHeader;
    /* pointers to directly-mapped structs and arrays in base DEX */
    const DexHeader*    pHeader;
    const DexStringId*  pStringIds;
    const DexTypeId*    pTypeIds;
    const DexFieldId*   pFieldIds;
    const DexMethodId*  pMethodIds;
    const DexProtoId*   pProtoIds;
    const DexClassDef*  pClassDefs;
    const DexLink*      pLinkData;
    /*
     * These are mapped out of the "auxillary" section, and may not be
     * included in the file.
     */
    const DexClassLookup* pClassLookup;
    const void*         pRegisterMapPool;       // RegisterMapClassPool
    /* points to start of DEX file data */
    const u1*           baseAddr;
    /* track memory overhead for auxillary structures */
    int                 overhead;
    /* additional app-specific data structures associated with the DEX */
    //void*               auxData;
};

通过pDexFile->baseAddr 获取到dex加载的基址。

struct DexHeader {
    u1  magic[8];           /* includes version number */
    u4  checksum;           /* adler32 checksum */
    u1  signature[kSHA1DigestLen]; /* SHA-1 hash */
    u4  fileSize;           /* length of entire file */
    u4  headerSize;         /* offset to start of next section */
    u4  endianTag;
    u4  linkSize;
    u4  linkOff;
    u4  mapOff;
    u4  stringIdsSize;
    u4  stringIdsOff;
    u4  typeIdsSize;
    u4  typeIdsOff;
    u4  protoIdsSize;
    u4  protoIdsOff;
    u4  fieldIdsSize;
    u4  fieldIdsOff;
    u4  methodIdsSize;
    u4  methodIdsOff;
    u4  classDefsSize;
    u4  classDefsOff;
    u4  dataSize;
    u4  dataOff;
};

通过pDexFile->pHeader->fileSize 获取到dex文件大小。

int fd = open("/sdcard/dump.dex", O_CREAT | O_WRONLY, 0666);
write(fd, pDexFile->baseAddr, pDexFile->pHeader->fileSize);
close(fd);

这时我们已经得到dex了。

二、百度壳对dex做了什么?

     1、修改DexClassDef中的classDataOff字段保存的偏移为负偏移

2、将classdata数据清空

 三、这么做如何让系统正常解析?

       百度的把classdata的数据保存在/data/data/xxxx/.1/1.jar包中,会在加载dex之前先分配空间给jar包,所以他的偏移为负值,内存结构如下图:

 

四、还原DEX

      1、获取到pDexFile后,我们遍历pDexFile->pClassDefs调用dexGetClassData获取到ClassData。将ClassData经过writeLeb128函数编码,写入到文件classdata并记录每个class的大小(此处参考Dexhunter做法)

#define log(...) \
        {FILE *fp = fopen("/sdcard/dumpdex.log", "a+"); if (fp) {\
        fprintf(fp, __VA_ARGS__);\
        fclose(fp);}}
   //因为log被hook了所以用写文件的形式保存log
   void dump()      
   {
        const DexClassDef* pClassDefs = pDexFile->pClassDefs;
    u4 classDefsSize = pDexFile->pHeader->classDefsSize;
    DexMapList* pMaps = (DexMapList*)(g_pDexFile->baseAddr + pDexFile->pHeader->mapOff);
    u4 cls_dat_off = 0;
    for (u4 i = 0; i < pMaps->size; i++)
    {
        if (pMaps->list[i].type == 0x2000)   //0x2000代表classdata
        {
            cls_dat_off = pMaps->list[i].offset;  //获取classdata起始偏移
            break;
        }
    }
    log("classdata_offset:0x%x\n", cls_dat_off);
    log("0,");     //记录classdata的偏移用的log
    for (u4 i = 0; i<classDefsSize; i++)
    {
        const u1* data = dexGetClassData(g_pDexFile, &pClassDefs[i]);
        DexClassData *pData = ReadClassData(&data);
        if (!pData) {
            continue;
        }
        int fd = open("/sdcard/classdata", O_APPEND | O_CREAT | O_WRONLY, 0666);
        int class_data_len = 0;
        uint8_t *out = EncodeClassData(pData, class_data_len);
        log("%d,", class_data_len);//记录classdata的偏移用的log
        cls_dat_off += class_data_len;
        write(fd, out, class_data_len);
        close(fd);
    }
    log("\n");
    }

以上ReadClassData、EncodeClassData函数用的Dexhunter的。感谢Dexhunter作者。

   2、此时我们已经有了dump.dex、classdata、dumpdex.log中保存的偏移。

 3、将classdata写入到classdata偏移处。

  4、通过程序修复classdef中的偏移。

5、运行完后我们已经获取到正确的dex,我们将out.dex拖入JEB 已经可以正常解析。

 

六、附件说明

      额 附件不让上传了,大家看下思路就好

双刃剑客
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android百度,[原创]百度加固逆向分析
weixin_39639505的博客
05-26 1053
最近一直在研究百度,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。下面开始:一、init_array我们发现init_array中存在多个函数地址,JNI_Onload为加密状态动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。之后遇到反调试崩溃退出。后来发现反调试检测了以下字段:android_servergdbserver...
一二三代和加技术分类识别
Qiled的博客
12-01 3484
文章目录1. 动态加载什么是动态加载? 为什么要动态加载?2. ClassLoader修正解决手段1:反射替换成DexClassLoader解决手段2:插入DexClassLoader3. 史第一代 Dex加密第二代 Dex抽取与So加固第三代 Dex动态解密与So混淆第四代 arm vmp(未来)4.用加固厂商特征:5. 加技术发展Dex加固技术发展so加固的种类6. 加技术的识别函数抽取VMPDex2C如何快速区分apk所采用的保护技术?如何区分VMP和Dex2C?7. 各种的解决方案
vmp入门(一):android dex vmp还原和安全性论述
最新发布
q2919761440的博客
04-25 955
如果真的觉得可以就关注一下公众号吧。也不发图推广了。哦,对了,我这脚本配合人工半自动换,是可以做到一个函数一个函数还原的,我经过测试了,图,就不贴,怕人找,虽然目前没人找过。我随便找的其中的某个样本,发的照片,很多样本好像都差不多,都是这个逆向思路。
安卓逆向学习——dex文件
AlexSmoker的博客
02-25 2361
DEX文件实际上就是Dalvik虚拟机的可执行程序,所以这个文件对于逆向分析工程师是十分重要的,因为我们需要对可执行文件进行调试分析结果。 JAVA文件的编译过程是由.java文件生成.class文件,然后在进行编译,编译成.dex文件的过程。 我们可以随便在一个文本文件中编写JAVA程序如下 注意JAVA类名是什么,这个java文件名应该就是什么。而且如果出现中文最好用反编译工具转换成Unic...
记一次APP去破解重新打包
qq_36484670的博客
11-02 1万+
1.拿到apk包时,第一步先判断是否加,加的是什么 在手机上或者虚拟机上用MT管理器找到对应的apk包 可以看的这个包虽然说是未加固,但还有个伪百度加固,其实也就是加了百度的 2.利用BlackDex32进行去 在手机或虚拟机上安装BlackDex32,在软件中选择你要去的APP(ps:要先把apk安装上,不然找不到), 在软件中可以指定去后的文件存储路径,到对应位置下找到apk的包名即可找到去后的dex文件 3.回到MT管理器,打开脱的后dex与未脱dex进行比较 未脱的:
Android常见App加固厂商脱方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(脱前学习的知识、的历史、脱方法)第一代二代第三代第N代 简述 Apk文件结构Dex文件结构的识别 Apk文件结构 Dex文件结构 史 第一代 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代 Dex抽取与So加固 对抗第一代常见的脱
Android各代加固总结
weixin_42454310的博客
03-14 1915
本文简单地总结了一下Android加固的背景和发展历史,也介绍了一些目前常见的脱工具。对于so加密的情况,目前也有许多方法应对,比如ida动态调试dump内存中的so,GG模拟器dump内存,frida dump so,unidbg等等。对于混淆的so,也有jnitrace,unidbg,还有hluwa大佬的大作obpo等工具辅助我们分析。除此以外还有还有一些优秀的脱工具如Fart等,我也没有再做介绍了。如有问题可关注公众号:移动安全星球。
dex-tools-2.1-SNAPSHOT_dex-tools-2.1_
09-29
《安卓apk反编译工具——dex-tools-2.1详解》 在移动应用开发领域,尤其是在安卓系统上,了解和分析APK文件的内部结构和代码逻辑是开发者、安全研究人员和逆向工程师的重要任务。"dex-tools-2.1"正是这样一款专为...
Android一二三代加固原理分析,代码实现ART下抽取
01-12
本文将深入探讨Android一二三代加固原理,包括抽取、VMP加固以及DEX2C技术,分析其实现源码。 1. **抽取原理**: 加固的核心是改变原本的类加载机制,抽取的原理就是将原始的.dex文件(包含应用代码)从...
dex-tools-2.1-SNAPSHOT.zip
12-21
dex-tools-2.1-SNAPSHOT.zip】是一款用于处理Android应用APK中的DEX(Dalvik Executable)文件的工具集。在Android系统中,DEX文件是包含应用程序代码和资源的二进制格式,它是Dalvik虚拟机执行的指令集。这款工具...
实测可用的dex-tool-2.2
06-23
【标题】"实测可用的dex-tool-2.2"涉及的是Android开发中一个重要的工具——dex2jar,这是版本为2.2的版本。在Android应用开发中,dex文件是Dalvik虚拟机执行的二进制格式,包含了应用程序的所有类和方法。然而,...
手动百度
04-17
手动脱百度,关于逆向破解百度加固过的app
C#_反编译dex_工具_Android逆向工具
12-22
C#_反编译dex_工具_Android逆向工具
安卓逆向工程助手(dex支持java1.8)
08-14
把打包好的apk反编译成jar,dex支持java1.8哦!希望大家多多支持
android逆向之多dex(multiDex)文件apk的逆向
热门推荐
Don't worry,be happy
05-27 2万+
0x00 Who is Multidex 很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增.这样就有可能出现因为方法数过多导致编译失败的情况.产生这个问题的主因是dex文件格式的限制.一个DEX文件中method个数采用使用原生类型short来索引文件中的方法,也就是4个字节共计最多表达65536个method,field/class的个数也均有此限制。
Android逆向笔记 —— DEX 文件格式解析
文淑的博客
06-06 816
明天6.6号,六六大顺,提前祝各位小伙伴端午快乐!Class 文件格式详解Smali 语法解析——Hello WorldSmali —— 数学运算,条件判断,循环Smal...
dex字符串解密_[原创]通过CTF学习Android漏洞(炸弹引爆+dex修复)
weixin_39994438的博客
12-20 661
0x00 说明刷android ctf题,感觉涉及的点不错,分享一下做题过程。题目:2015 RCTF / 攻防世界高手区 where描述(提示):Where is the flag.(The flag should include RCTF{})hint:where is bodyhint2: the KEY is visible strings, -k -nosalt涉及的漏洞点:1、炸弹引爆...
android脱之dvmDexFileOpenPartial分析
爱技术的蓝胖子
12-11 1482
目录:逆向加apk的典型方法流程分析 逆向加apk的典型方法 我们知道,逆向加apk的时候,可以对libdvm.so中的int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex)函数打断点,然后使用下面的程序根据addr和len将内存中的dex文件dump到文件中。 // dump memory dex to...
Android逆向进阶——让你自由自在脱的热身运动(dex篇)
dfdhxb995397的博客
03-08 252
本文作者:HAI_ 0×00 前言 来看看我们今天的主题。 让你自由自在脱的热身运动。 现在很多第厂家都是使用第三方的加固方式来进行加固的。或者使用自己的加固方式进行加固。 那么我们必不可少的就是脱这个过程。 想要脱?看大佬步骤? 还是要知其然也要知其所以然才能进步。 内容 1.一个好用的工具简单教程(Insight) 你可以学到什么? 一个超级厉...
dex-method-counts.jar 下载
01-21
如果您想要下载 dex-method-counts.jar 文件,可以通过以下几种方法来找到并下载它。首先,您可以在互联网上使用搜索引擎来查找 dex-method-counts.jar 文件。在搜索结果中,您可以找到一些可靠的网站或资源,例如GitHub、开发者论坛或开源社区,这些地方通常会提供 dex-method-counts.jar 文件的下载链接。其次,您可以访问dex-method-counts的官方网站或者其它官方渠道,查找到相关的下载页面或链接,并从中获取到dex-method-counts.jar文件。最后,您也可以尝试使用一些第三方的下载工具或者应用程序来搜索和下载dex-method-counts.jar 文件。请注意,在下载任何文件时,一定要选择可信赖的来源,以免下载到恶意文件或病毒。希望你能成功找到并下载到 dex-method-counts.jar 文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值