第十二章 软件壳(三)(动态加载型壳)

最新推荐文章于 2021-08-12 17:29:20 发布
最新推荐文章于 2021-08-12 17:29:20 发布
阅读量683 收藏 4
点赞数 1
分类专栏: 《Android 软件安全权威指南》学习笔记 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlmm741/article/details/106173746
版权
本文详细介绍了Android动态加载型壳的脱壳方法,包括缓存脱壳法、内存Dump脱壳法、动态调试脱壳法、Hook脱壳法和系统定制脱壳法。针对DEX的加载和优化过程,分析了各种脱壳时机,讨论了如何利用调试器、Hook框架及系统定制来实现自动化脱壳。
摘要由CSDN通过智能技术生成

文章目录

动态加载型壳

  • 即第一代壳
  • 其发展时期正是从 Android 4.4 向 Android 5.0 迈进的从 Dalvik 虚拟机向 ART 虚拟机转型时期
  • 这一时期的软件壳,早期版本主要针对 Dalvik 虚拟机的实现,特点是对本地 APK 中的数据加密,运行时在内存中解密

缓存脱壳法

  • 动态加载型壳用 DexClassLoader 方式将加密后的 DEX 在内存中解密后动态加载,但一些软件壳没有处理 DEX 优化时缓存的路径,最终使得系统执行 dexopt 命令对加载的 DEX 进行优化时,将优化结果放到默认的 /data/dalvik-cache 目录,因此只要将此目录下的 ODEX 取出,进行一次 deodex 操作,即可完成脱壳

内存 Dump 脱壳法

  • 因第一代壳在内存中完全解密,可从内存中 Dump 要解密 APK 的内存,完成脱壳

  • 脱壳工具:android-unpacker

  • 其核心是通过 find_magic_memory() 读取 /proc/pid/maps 内存映射表,找到 DEX 所在的内存起始位置,通过 dump_memory() 将内存 Dump

    int find_magic_memory(uint32_t clone_pid, int memory_fd, memory_region* memory[], char* extra_filter) {
     
    char maps[1024];
    snprintf(maps, sizeof(maps), "/proc/%d/maps", clone_pid);
 
    FILE* maps_file = NULL;
    if ((maps_file = fopen(maps, "r")) == NULL)
        return -1;
 
    char mem_line[1024];
    int found = 0;
    while (fscanf(maps_file, "%[^\n]\n", mem_line) >= 0) {
     
        if (extra_filter != NULL && strstr(mem_line, extra_filter) == NULL)
            continue;
 
        if (extra_filter == NULL && (strstr(mem_line, "/") != NULL || strstr(mem_line, "[") != NULL))
            continue;
 
        char mem_address_start[10];
        char mem_address_end[10];
        sscanf(mem_line, "%8[^-]-%8[^ ]", mem_address_start, mem_address_end);
 
        uint64_t mem_start = strtoul(mem_address_start, NULL, 16);
 
        off64_t offset = peek_memory(memory_fd, mem_start);
 
        if (extra_filter != NULL && offset < 0)
            offset = 0;
 
        if (offset >= 0) {
     
            memory[found] = malloc(sizeof(memory_region));
            memory[found]->start = mem_start + start;
            memory[found++]->end = strtoull(mem_address_end, NULL, 16);
        }
        else if (offset == -99) {
     
            // No offset found
        }
        else {
     
            perror(" [!] Error peeking at memory ");
        }
    }
    fclose(maps_file);
    return found;
}
int dump_memory(char* class_path, int memory_fd, memory_region* memory, const char* file_name, int ignore_class_path) {
     
    int ret
最低0.47元/天 解锁文章
zlmm741
关注
专栏目录
运行时动态修复dex
jltxgcy的专栏
01-26 4100
0x00    在本文中,我们首先分离
逆向角度分析 CydiaSubstrate Hook 原理
Rainyx的专栏
02-28 5526
简介 CydiaSubstrate,iOS7越狱之前名为 MobileSubstrate(下文简称为MS或MS框架),作者为大名鼎鼎的Jay Freeman(saurik). MS框架为越狱iDevice提供了一个稳定的代码修改平台。开发者可以很方便的利用它进行各种插件开发工作。可以说目前很多插件都是基于MS实现,比如activator、barrel、KuaiDial等等。 目前
Android 动态库压缩的实现
zhangmiaoping23的专栏
12-16 678
作者介绍:周科,腾讯工程师,QQ动漫Android主力开发,从事过Rom开发,参与过手Q阅读、手Q趣味来电等项目,对Android底层原理有深入理解。 前言 说起可能有的同学并不太了解,简单的说,计算机软件领域所说的实际上是一种软件加密技术。与自然界中的类似,花生用保护种子,乌龟用保护自己的身体,而我们写的程序为了在一定程度上防止被逆向分析,也可以给它加主要分为两大类:加密和压缩,加密侧重于防止软件被篡改,而压缩则侧重于减小软件体积。其实,在Windows上已经有许多了,但.
Android开发如何理解Java静态代理 动态代理及动态生成代理对象原理 看这篇就够了
Mango先生的博客
06-09 3896
静态代理是代理模式实现方式之一,比较简单,主要分为个角色:客户端,代理类,目标类;而代理类需要与目标类实现同一个接口,并在内部维护目标类的引用,进而执行目标类的接口方法,并实现在不改变目标类的情况下前拦截,后拦截等所需的业务功能。在动态代理中,不需要我们再手动创建代理类,只需要编写一个动态处理器及指定要代理的目标对象实现的接口类,真正的代理对象由JDK在运行时为我们创建
Android4.4.4.4_r1系统源码】OptMain.cpp
05-28
17/* 18 * Command-line DEX optimization and verification entry point. 19 * 20 * There are three ways to launch this: 21 * (1) From the VM. This takes a dozen args, one of which is a file 22 * descriptor that acts as both input and output. This allows us to 23 * remain ignorant of where the DEX data originally came from. 24 * (2) From installd or another native application. Pass in a file 25 * descriptor for a zip file, a file descriptor for the output, and 26 * a filename for debug messages. Many assumptions are made about 27 * what's going on (verification + optimization are enabled, boot 28 * class path is in BOOTCLASSPATH, etc). 29 * (3) On the host during a build for preoptimization. This behaves 30 * almost the same as (2), except it takes file names instead of 31 * file descriptors. 32 * 33 * There are some fragile aspects around bootclasspath entries, owing 34 * largely to the VM's history of working on whenever it thought it needed 35 * instead of strictly doing what it was told. If optimizing bootclasspath 36 * entries, always do them in the order in which they appear in the path. 37 */
第十二章 软件(四)(代码抽取
zlmm741的博客
05-17 1513
文章目录代码抽取内存重组脱壳Hook 脱壳法系统定制脱壳脱壳工具 代码抽取 即第二代 主要特点 即使 DEX 已加载到内存,仍处于加密状态(所有 DEX 方法都在运行时解密) 比第一代难脱 内存重组脱壳法 代码抽取经历多次技术迭代 最初是将 DEX 的 DexCode 提取后填 0,将 DEX 的所有内容保存在 APK 中,APK 运行时会在内存中动态解密,所有解密的方法内容指针位于 DEX 文件结构体外部的内存中,从而有效避免了只知道 DEX 的起始地址即可快速 D
第十二章 软件(一)(Android 软件
zlmm741的博客
05-17 508
文章目录软件Android 软件 软件 Windows 平台的软件 压缩 着重于减小软件体积 代表 UPX ASPack NSPack 不采用软件保护技术 没有用于进行调试器检测的代码 加密 产品众多 大多被恶意软件用来对抗杀软查杀 可配合压缩进行多次加密,达到较高强度的加密效果 保护 比加密更难脱壳 强调高强度的代码保护,包括对调用 API 的方法抽取、多进程保护、内存校验、反调试器与虚拟机、系统注入等 代表 Armadillo ASProtect SafeGu
第十二章 软件(五)(代码混淆
zlmm741的博客
05-17 1329
文章目录代码混淆LLVM 基础编写 PassObfuscator-LLVM指令替换控制流平坦化伪造控制流代码混淆脱壳指令替换混淆的还原控制流平坦化混淆的还原伪造控制流混淆的还原 代码混淆 分为 Java 级别的代码混淆 加密保护的第一代 原生程序的代码混淆 代码混淆的第 源于 LLVM 编译套件的编译器特性,通过编写 LLVM Pass 对编译原生程序时生成的 LLVM IR 进行操作,可实现类似 Windows 平台 VMProtect 等虚拟机软件的加密保护效果
第9章 类加载及执行子系统的案例与实战
lyw4631的博客
08-12 295
文章目录9.1 概述9.2 案例分析9.2.1 Tomcat:正统的类加载器架构9.2. 2 OSGi:灵活的类加载器架构9.2.3 字节码生成技术与动态代理的实现9.2.4 Backport工具:Java的时光机器9.3 实战:自己动手实现远程执行功能9.4 本章小结 第9章 类加载及执行子系统的案例与实战    代码编译的结果从本地机器码转变为字节码,是存储格式发展的一小步,却是编程语言发展的一大步。 9.1 概述    在Class文件格式与执行引擎这部分里,用户的程序能直接参与的内容并不太多,Cla
hadoop 写操作的完整笔记
iteye_14249的博客
10-16 575
原创 转载请注明出处 http://baishuo491.iteye.com/blog/1958649 作者邮箱:vc_java@hotmail.com Create操作 1.String clientMachine = getClientMachine(); 2.namesystem.startFile(src,new PermissionStatus(UserGr...
Cydia Substrate框架Android so hook分析
燕十二的BLOG
12-21 4590
最近需要用到Android so hook,于是分析了一下比较流行的Cydia Substrate框架          CydiaSubstrate框架的核心函数是MSHOOKFunction,官方使用说明如下:          现在Android 默认编译出来的都是thumb指令集的,就分析一下这个模式下的HOOK吧。          在使用MSHOOKFun
360加固保的dex脱壳方法
热门推荐
Fly20141201. 的专栏
11-13 1万+
360整体加固classes.dex后的apk程序的特点,以超信1.1.4版本为例。360加固以后,会在apk的assets文件的路径下增加两个文件libjiagu.so和libjiagu_x86.so以及修改原apk的AndroidManifest.xml文件的application标签增加两个元素。 360加固脱壳需要完成两个任务,一个任务是过掉3
fopen文件路径怎么写_Run Mario!写一个越狱插件
weixin_39756192的博客
11-04 192
摘要本文记叙了制作一个越狱插件的过程,它可以解除 SuperMarioRun 在越狱手机上的限制。(SuperMarioRun 是任天堂在 iOS 平台上推出的一款游戏)。插件可以通过 Cydia 安装(搜索 RunMario)。故事春节假期玩了很久的 SuperMarioRun,当得到了前关的全部九个金币后,终于下决心买了后面的世界,玩得津津有味。前几日发现 iOS 10.2 可以越狱了,作为...
android技术总结
inquisiter
03-13 1348
一.加载 二.代码抽取 (一)、内存重组脱壳 https://gitbub.com/zyq8709/DexHunter DexHunter -----&amp;amp;gt;DumpClass()方法 此方法针对非一次性解密的Dex结构进行了遍历加载,从而有效实现内存重组。 、代码混淆 LLVM 原生程序混淆 llvm:pass Obfuscator-LLVM是基于LLVM pass...
Hadoop源码分析笔记(六):HDFS源代码结构和基于IPC调用接口
Keep moving
06-04 1734
HDFS源代码结构         HDFS的源代码都在org.apche.hadoop.hdfs包下。HDFS的源代码分布16个目录下,它们可以分为如下四类。         1、基础包         包括工具和安全包。其中,hdfs.util包含了一些HDFS实现需要的辅助数据结构;hdfs.security.token.block和hdfs.sercurity.token.deleg
/proc/{pid}/maps解读
weixin_34060299的博客
02-18 899
非常常用的系统文件 总共6列,如 76093000-76096000 r-xp 00000000 b3:19 941 /system/lib/libmemalloc.so 复制代码 所处虚拟内存地址(VMA)范围:``76093000-76096000` 在Linux中将进程虚拟空间中的一个段叫做虚拟内存区域VMA(Virtual Memory Area)。 VMA对应ELF文件中的segme...
回顾从hdfs数据读过程看RPC
数据技术控
08-20 2236
Client端 org.apache.hadoop.hdfs; DistributedFileSystem 客户端与namenode端协议使用ClientProtocol public FSDataInputStream open(Path f, final int bufferSize) throws IOException { statistics.inc
安卓应用加固之各代加保护技术详解
08-01 1171
#0x00 前言 安卓应用加固技术是伴随安卓应用破解技术一同发展起来的。加固技术分为加保护和反反汇编保护技术。市面上成熟的加固厂商一般会使用加保护技术配合反反汇编技术对安卓应用进行加固。 安卓反反汇编技术的总结在我以下博客中将进行详细探讨(未写完),链接: 反反汇编: https://www.cnblogs.com/victor-paladin/p/11406646.html...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值