360脱壳分析1-内存dump的时机选择

最新推荐文章于 2024-08-08 07:46:16 发布
最新推荐文章于 2024-08-08 07:46:16 发布
阅读量2.1k 收藏
点赞数
分类专栏: android 逆向

转:http://blog.csdn.net/eewolf/article/details/44425569

eewolf原创,转载请注明

360对dex的保护是比较好的,直接去dump内存会发现activity类都是有问题的,从dex格式而言,其DexClassDef结构体是有问题的,除了ClassId的所有成员均为0。

那应该怎么脱呢,当然360对so有加壳,我们可以对其进行脱壳后进行分析;另外,当然也可以修改libdvm来进行脱壳。

但对于一名coder而言,能否从实现角度出发呢?如果我们来实现这个功能,要如何做。

我们知道,通常加壳方案中,需要替换classloader来加载系统组件类(当然也可以用替换mCookie的方法),activity当然也是一种系统组件。那么,可以大胆猜测,360的加壳方案中,在ClassLoader的loadClass函数上是动了手脚的,来达到先修正activity类,再修错的目的。

有了这个猜测后,实现就很简单了,可以hook loadClass,在这个时机点,去dump内存,就可以得到正确的dex。

当然,如果在dvm中实现,应该可以在defineClass函数中进行实现。

eewolf原创,转载请注明

双刃剑客
关注
专栏目录
java dump mac 分析_Java内存Dump分析 - PerfMa
weixin_36048838的博客
03-06 2801
概况主要对该 Dump 文件进行一个概括的介绍,主要分为“基本信息”和“大对象分布”。基本信息”:可以看到如 GC Root 的数量、JVM 版本、线程个数等等。这里需要重点关注的就是大对象分布,这里会从 Dump 文件中分析出占据较大内存的对象占整个堆内存的百分比分布情况。如图类视图查看当前 Dump 文件中所有已加载的类,如图从图中可以看到每个类的“类对象地址”,“实例数”,“所有实例自身大小...
win10下nodejs内存泄漏查找工具node-heapdump和node-memwatch的安装
夏商周
02-19 1565
最近在看《深入浅出Node.js》,看到了第5章提到的node-heapdump和node-memwatch内在泄漏查找工具,我就尝试在win10下安装和使用一下,觉得有必要总结一下。 node-heapdump的安装 这个开源项目的github地址戳这儿。按照项目提供的步骤安装还是挺简单的: npm install heapdump 它的使用也很简单,如下: var heapdump = require('heapdump'); heapdump.writeSnapshot('/var/local/'
360脱壳工具
03-06
支持360 一键脱壳dump 可以查看dex源代码 修改等 操作简单
360脱壳
chencangui的专栏
11-30 1742
背景 在反编译app的时候,有时候会遇到一些加固了的app,这样子我们做竞品分析的时候,就无法使用apktool或者jadx进行反编译了,APK加固成为我们分析的障碍。360渠道作为Android应用分发的较大渠道,很多apk都使用了360加固。本文就来介绍下如何来绕过这个坑。360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过l...
drizzleDumper 使用教程
最新发布
gitblog_01186的博客
08-08 577
drizzleDumper 使用教程 drizzleDumperdrizzleDumper是一款基于内存搜索的Android脱壳工具。项目地址:https://gitcode.com/gh_mirrors/dr/drizzleDumper 项目介绍 drizzleDumper 是一款基于内存搜索的 Android 脱壳工具。它通过分析应用程序的内存,找到并提取出被加固的 dex 文件,从而实现脱...
360官网脱壳分析-2017-04-04
zhangmiaoping23的专栏
06-14 931
转:http://www.52pojie.cn/thread-595960-22-1.html              网上已经有很多360脱壳教程了,看了好多后就想自己动手调试下。感谢各位大神无私分享的文章,本菜才能顺利过掉反调。本人是初涉逆向, 水平有限,秉着学习的目的,发帖分享自己的逆向学习过程,肯定会有些错误或分析不正确的地方,欢迎大牛指正,赐教,本菜鸟
Android Security 之360脱壳
think_ycx的专栏
08-30 960
之前用了几次,pediy的脱壳教程,这次重新用了一下。贴一下过程吧。 1. 安装对应模拟器 android studio中用avd创建模拟器,nexus6p, system image Nougat android 7.1.1 。当然用真机也可以。下载方式见参考链接。(也测试了nexus 5x + android 4.4.4 , 替换了pediy提供的system.img。) 2. 修改de...
【Linux operation 31】SUSE 12 - systemd-coredump
qq_22938603的博客
05-26 1828
1、概述 • systemd-coredump收集并显示内核核心转储,用于分析应用程序崩溃。当一个进程崩溃(或属于一个应用程序的所有进程)时,它的默认设置是将核心转储记录到systemd日志中,如果可能的话包括回溯,并将核心转储存储在 /var/lib/systemd/coredump. • 还可以选择使用其他工具检查转储文件,例如gdb或 crash, • 有一个选项不存储核心转储,而只记录到日志中,这可能有助于最大限度地减少敏感信息的收集和存储。 2、配置 systemd-coredump默认情况下已启
android逆向----内存dump下来的so文件的section简单修复
yimo_5288的博客
12-03 9424
之前弄了下抖音1.8.3版本,实在是加密太复杂,只得从内存dump出关键的libcms.so,但弄出来后用IDA打开,提示first section must be SHT_NULL,查看了下dump下来的so发现没有section header table,只能自己来加上去了 1、从反编译出来的libcms.so中找到section header table和Section header s...
java dump分析_基于Java内存dump文件分析解决内存泄漏问题
weixin_33895274的博客
02-12 6973
概述本文介绍一次解决现场java内存泄漏问题的经过,希望能提供后续遇到类似情况的读者一点思路。生产环境发现的问题问题生产环境运维人员反馈,服务器(windows系统)卡死,相关的服务都运行异常,重启之后也没作用。通过运行管理器看到java进程内存占用5G,初步判断是程序内存泄漏。基本解决方案基本解决方案是先收集生产环境的jvm内存使用信息,线程信息,再利用工具进行进一步分析。解决过程1、收集jvm...
360脱壳案例
06-28
360脱壳案例
360脱壳爱加密脱壳360加固保脱壳
04-16
360脱壳爱加密脱壳360加固保脱壳工具。两种壳都可以脱
万能脱壳工具
09-08
本工具适用于所有语言的应用程序的脱壳,方便、快捷。
360加固保-半自动脱壳工具
02-04
1、通过模拟器或手机端将360加固的apk文件进行半自动脱壳,方便研究学习作者的源码 2、内有详细说明 3、内有自动化的批处理,运行它就可以了 4、运行界面如下: D:\apktools\drizzleDumper>1drizzleDumper * daemon not running. starting it now on port 5037 * * daemon started successfully * 320 KB/s (9532 bytes in 0.029s) "请在模拟器中运行目标应用..." WARNING: linker: /data/local/tmp/drizzleDumperX86 has text relocations. This is wasting memory and is a security risk. Please fix. [>>>] This is drizzleDumper [<<>>] code by Drizzle [<<>>] 2016.05 [<<<] [*] The wait_times is 3s [*] Try to Find com.newapptest
360脱壳_之memcmp
qq_34108752的博客
10-02 487
auto fp,addr_start,addr_now,size,addr_end; addr_start = 0x62509000; size = 0x6A7968; addr_end = addr_start+size; fp=fopen(“C:\dump.dex”,“wb”); for(addr_now = addr_start;addr_now<addr_start+size;add...
360(drizzleDumper)脱壳教程“某药数据”
weixin_47115747的博客
01-31 8089
360(drizzleDumper)脱壳教程“某药数据”
Android逆向之脱掉“360加固”的壳
Tomes.V.White
01-14 8591
转载自:https://blog.csdn.net/jiangwei0910410003/article/details/51769447 此处仅作为学习记录一用。至于评论问答环节,请去上面地址翻阅四哥的原文。上面已附上地址。 一、前言 现在主流的加固平台有:梆梆加固,爱加密,360加固,腾讯加固,在之前的一篇文章中介绍了:如何脱掉“爱加密”的壳,现在这里要脱掉另外一个平台的壳:360加固,因...
Android Apk脱壳(360加固)
weixin_34004576的博客
04-18 6641
工具下载:https://github.com/home-hwt/android/tree/master/decode_apkgenymotion模拟器下载http://www.genymotion.net/ FDex2通过Hook ClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),在将里面的dex写出 dex2ja...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值