第十二章 软件壳(四)(代码抽取型壳)

最新推荐文章于 2023-11-10 18:44:40 发布
最新推荐文章于 2023-11-10 18:44:40 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 《Android 软件安全权威指南》学习笔记 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlmm741/article/details/106173778
版权
本文详细介绍了代码抽取型壳的原理和特点,特别是第二代壳,它在DEX加载到内存后仍保持加密状态。讨论了三种脱壳方法:内存重组脱壳法、Hook脱壳法和系统定制脱壳法,针对不同壳的特点提出相应的应对策略。同时提到了脱壳工具DexHunter的关键操作,如DumpClass和dexGetClassDescriptor等。
摘要由CSDN通过智能技术生成

文章目录

代码抽取型壳

  • 即第二代壳
  • 主要特点
    • 即使 DEX 已加载到内存,仍处于加密状态(所有 DEX 方法都在运行时解密)
  • 比第一代壳难脱

内存重组脱壳法

  • 代码抽取型壳经历多次技术迭代

  • 最初是将 DEX 的 DexCode 提取后填 0,将 DEX 的所有内容保存在 APK 中,APK 运行时会在内存中动态解密,所有解密的方法内容指针位于 DEX 文件结构体外部的内存中,从而有效避免了只知道 DEX 的起始地址即可快速 Dump 的问题

  • 内存重组脱壳法能有效对付此种壳,其通过解析内存中 DEX 的格式,将其重新组合成 DEX,可实现百分百 DEX 代码还原,虽然出现过一些针对内存重组的 Anti,但理论上只要 DEX 在内存中是完整的,即可通过此法脱壳

  • 在内存中加载完成的 DEX 是个 DvmDex 结构体:

    typedef struct DvmDex {
     
    DexFile*                pDexFile;
    const DexHeader*        pHeader;
    struct StringObject**    pResStrings;
    struct ClassObject**    pResClasses;
    struct Method**            pResMethods;
    struct Field**            pResFields;
    struct AtomicCache*        pInterfaceCache;
    MemMapping                memMap;
    pthread_mutex_t            modLock;
} DvmDex;

  • pDexFile

    • 遍历它的字段即可得到 DEX 的完整内容

  • 首要问题

    • 如何在内存中定位 DvmDex

  • 通用的定位 DvmDex 结构体方法

    • Android 源码中 libdvm.so 导出一个 gDvm 符号,这是 DvmGlobals 结构体类型,其定义位于 Android 源码 dalvik/vm/Globals.h。DvmGlobals 结构体中有个 HashTable 结构体指针类型的 userDexFiles 字段

      typedef struct HashTable {
       
    int         tableSize;        // must be power of 2
    int            numEntries;        // current #of "live" entries
    int            numDeadEntries;    // current #of tombstone entries
    HashEntry*    pEntries;        /* array on heap */ +0x0c
    HashFreeFunc    freeFunc;
    pthread_mutex_t lock;
} HashTable;
      • numEntries、pEntries
        • 描述了 HashTable 结构体的个数和结构体起始指针,通过它们可定位所有引用的 HashEntry

    • HashEntry 结构体定义

      typedef struct HashEntry {
       
    u4        hashValue;
    void*    data;    // DexOrJar* pDexOrJar
最低0.47元/天 解锁文章
zlmm741
关注
专栏目录
信息系统项目管理师第版知识摘编:第2章 信息技术发展
Programming Talk
03-22 2134
当前,深度学习技术是自然语言处理的重要技术支撑,在自然语言处理中需应用深度学习模,如卷积神经网络、循环神经网络等,通过对生成的词向狱进行学习,以宪成自然语言分类、理解的过程。从区块链的技术体系视角看,区块链基于底层的数据基础处理、管理和存储技术,以区块数据的管理、链式结构的数据、数字签名、哈希函数、默克尔树、非对称加密等,通过基于P2P网络的对称式网络,组织节点参与数据的传播和验证,每个节点均会承担网络路由、验证区块数据、传播区块数据、记录交易数据、发现新节点等功能,包含传播机制和验证机制。
Android逆向:脱某软件dex函数抽取
高新园养鸡场
04-05 1935
案例与目标 案例下载 jadx打开以后可以看到很明显的特征。 目标:使用工具和自行实现脱。   工具脱 FRIDA-DEXDump FRIDA-DEXDump确实很轻松就拿到了dex文件,可惜文件数据有异常,无法正常打开分析。 frida-fart 通过frida-fart同样很轻松的拿到了dex文件,以首屏SplashActivity为例进行分析。 jadx可以正常打开,但里面的函数都是nop。 Fart脱机镜像 pixel刷入Fart脱机镜像,运行后在/sdcard/fart
分享一个自己做的函数抽取
zhangmiaoping23的专栏
01-12 991
一、概述 项目中慢慢开始,写一些简单的 kotlin类了,挺方便的一个语言,借鉴了不少脚本语言的特点。刚开始用,有些点经常要翻越,特别记录下。 二、常用的几个复合符号 《Kotlin 实战》小人系列,的这本书里 画的图很清晰了,我又重画了一遍。 2.1、 ?.安全调用符 !这里写图片描述 if (foo != null){ return foo.bar() }else{ return null } 1 2 3 4 5 6 2.2、 ?: 2.3、 as? 2.4、 !! ...
05-art下的函数抽取实现
blind cat
02-26 489
参考文章: https://blog.csdn.net/zhangmiaoping23/article/details/100877907 https://blog.csdn.net/hhh901119/article/details/79526169 修复的时机点 :DexFindClass (需要早于函数被调用的时机就行) 免root进行native层hook : https://github.com/ele7enxxh/Android-Inline-Hook 1、如何阻止dex2oat 通过hook
Android 逆向】Dalvik 函数抽取 ① ( Dalvik 下的函数指令抽取与恢复 | dex 函数指令恢复时机点 | 类加载流程 : 加载、链接、初始化 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-18 2056
前言、 一、Dalvik 下的函数指令抽取与恢复、 二、dex 函数指令恢复时机点、 1、dex 函数指令恢复、 2、Android 源码中搜索 dexFindClass 函数、 3、类加载流程 : 加载、链接、初始化、
Android 逆向】Dalvik 函数抽取 ⑥ ( 函数抽取实现 | 函数抽取 | 函数还原 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-29 688
一、函数抽取、 二、函数还原、 相关参考博客
FART彻底搞定函数抽取
u014753748的博客
09-24 9094
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
第十二章 软件(一)(Android 软件
zlmm741的博客
05-17 508
文章目录软件Android 软件 软件 Windows 平台的软件 压缩 着重于减小软件体积 代表 UPX ASPack NSPack 不采用软件保护技术 没有用于进行调试器检测的代码 加密 产品众多 大多被恶意软件用来对抗杀软查杀 可配合压缩进行多次加密,达到较高强度的加密效果 保护 比加密更难脱 强调高强度的代码保护,包括对调用 API 的方法抽取、多进程保护、内存校验、反调试器与虚拟机、系统注入等 代表 Armadillo ASProtect SafeGu
Java核心技术· 卷二(11版)笔记(第1-4章)
最新发布
weixin_43647460的博客
11-10 253
Java8 中的流库是一个新的API,它提供了一种简便的方式来对数据进行操作和处理。它包括了一些基础的接口和类,可以用来处理集合,数组等数据结构。下面是 Java8 中的流库的一些主要接口和类:Stream:流的主要接口,提供了一些常用的方法,如 filter、map、reduce 等,用于对数据进行操作。Optional:可选值类,用于处理缺失的值,防止出现 NullPointerException。Collector:收集器,用于将流中的元素收集到指定的集合中,也可以用于分组、分区等操作。Splite
大神之路-起始篇 | 第18章.计算机科学导论之【人工智能】学习笔记...
WeiyiGeek 唯一极客IT知识分享
02-13 674
(0) 人工智能简史虽然人工智能作为一门独立的学科是相对年轻的,但它还是经历了一段发展的时间,当2400年前希腊哲学家亚里多斯德发明了逻辑推理这个概念时,人工智能就开始了,接着莱布尼茨和牛顿完成了逻辑语言的定稿。乔治•布尔在19世纪逐步提出的布尔代数(附录E)奠定计算机电子电路的基础。但是思维计算机的主要思想却来自于阿兰•图灵,他提出了图灵测试, “人工智能”这个术语是(约翰•麦卡思)在1956年首次提出的。(1) 什么是人工智能AI?
函数抽取工具 fart代码阅读
flygle~的博客
05-10 1014
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发的函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
简单尝试脱某加固的DEX--二代抽取(dexhunter)
zhangmiaoping23的专栏
12-13 1127
0x00 序 第一次尝试脱dex,样本是在“*****”官网上免费加固的,非商业版。 本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。0x01 加固包和原包对比 加固后的classes.dex文件变大了,脱到JEB里面发现多了一些代码和一些垃圾类(jpvbhn、cioub、flsye…)。 原包中,很多类方法的指令被抽空了,如下面的onCreate。 将assets目...
安卓加固方案从落地加载到类指令抽取编写报告
windy_ll的博客
03-28 5760
一、前言以及环境配置     PS:突然想起来好久没在看雪发过啦,这次就同步一下吧!!!     PS:该文已经首发于某公众号,介意者勿喷!!!     安卓的加固方案是从19年底开始写的,到现在为止差不多快一年了,写这个目的还是学习怎么脱,前几个月再看雪看到有人直接分析来学习,不过我感觉从加写起也是一种浪漫。因为个人原因,在类指令抽取哪里为半完成状态,在今年大概率没有时间接着修改了,在java层的加固就止于此吧!!!(PS:以后有时间会接着修改)   环境配置:          * Androi
通过一款早期代码抽取入门学习 so 层分析
键盘的起始页
07-28 2885
1. 前言 文章开始需要提下的就是,在如今看雪论坛的用户一发关于安卓加固的文章动辄就是有关脱机、vmp、函数级指令抽取或者各大厂商的加固等技术的情况下,为何我要发一个代码抽取的分析,并且还是早期的那种整体抽取、整体还原回去、没有混淆、代码风格十分民风淳朴的那种... 原因是我开始尝试复现论坛中一些很优秀的关于 so 层的分析帖子时候,尽管很多帖子都力所能及进行了十分详细的说明,可是有些步骤我复现起来还是觉得不太理解或者有点力不从心,很多时候也是因为一些知识点和操作对大佬来说是比较简单的事情,.
对ACProtect1.32的分析以及对抽取代码的修补
m0_37120576的博客
05-01 506
我们都知道,有调试技术,就有反调试技术,ACProrect这个就用到了反调试技术,它会检测调试软件OD,来分析自己的程序是否被调试。 脱ACProtect1.32的步骤: 这个可能会检测OD进行反调试,所以,我们需要利用SOD中的隐藏OD功能。然后我们设置非法访问内存的异常不忽略,然后很明显我们需要利用最后一次异常法来解决这个问题。在我分析的这个程序里面,程序在int 1 之后就会跑飞,
一个易上手的函数抽取样本还原(JAVA遍历类与加载SO的思路,还有LoadMethod阶段去获取完整Dex)
zhangmiaoping23的专栏
09-22 744
那么其实这道题考察的就是classloader的运用,无论如何变,为了能让上层应用能正常运用,必然逃不脱整个安卓框架层,那么既然框架层也是用的classloader去加载类的,那么就逃不脱classloader这个知识点。由题目其实可以很清楚的了解到,这个函数抽取,类被还原后就不会复原回去,那么解题思路就很明确了,只要遍历所有的类,再把Dex dump出来,即脱成功。这这个方法中,我们可以拿到DexFile,然后进而可以拿到base和size,然后拿到这两个后,我们就可以dump dex出来了。
使用 libdvm.so 内部函数dvm* 加载 dex
weixin_30530939的博客
06-05 258
首先要清楚,odex只是对代码段(我将dex文件与elf文件类比,大家都将执行文件分成不同的段)作优化,而其它用于类反射信息的段都应用原来的dex,所以odex文件内部还包含了一个dex。 打开一个dex或一个odex文件,就是要将其中用于类反射的信息加载到虚拟机运行时中。对于打开一个odex文件,目的也是要将其中包含的dex部分的信息进行加载。 dalvik(libdvm.so...
【移动安全基础篇】——32、Android动态代码自修改实现
Fly_鹏程万里
01-19 953
一、 法 方法 11. Jni Bridge Jni 提供了让我们在 C++代码层中直接操作 Dalvik(java)数据的接口。我们可以在 jni 中直接操作相关的数据,修改 Android 中的代码Android 源码中的实现:dalvik/vm/jni.cpp 2. Object  结构体 Android 源码位置:dalvik/vm/oo/ObjectAndroid 运行时,解析...
深入解析Android加固技术:Dex2c与VMP实现
"Android一二三代加固原理分析,代码实现ART下抽取。" 本文主要探讨了Android应用加固技术,特别是围绕抽取、VMP(Virtual Machine Protection)加固以及DEX2C转换方法。加固的主要目的是保护应用程序不受...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值