Android逆向:脱某软件dex函数抽取型壳

最新推荐文章于 2024-06-25 09:41:24 发布
最新推荐文章于 2024-06-25 09:41:24 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: 逆向分析 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyc3545/article/details/115446960
版权

声明:案例分析仅供学习交流使用,勿用于任何非法用途。如学习者进一步逆向并对版权方造成损失,请自行承担法律后果,本人概不负责。

案例与目标

案例下载
jadx打开以后可以看到很明显的壳特征。
在这里插入图片描述
目标:使用工具和自行实现脱壳。
 

工具脱壳

FRIDA-DEXDump

FRIDA-DEXDump确实很轻松就拿到了dex文件,可惜文件数据有异常,无法正常打开分析。
在这里插入图片描述

frida-fart

通过frida-fart同样很轻松的拿到了dex文件,以首屏SplashActivity为例进行分析。
在这里插入图片描述
jadx可以正常打开,但里面的函数都是nop。
在这里插入图片描述

Fart脱壳机镜像

pixel刷入Fart脱壳机镜像,运行后在/sdcard/fart找到dex。
在这里插入图片描述
jadx打开,发现SplashActivity中函数是完整的。
在这里插入图片描述

Youpk脱壳机镜像

pixel刷入Youpk脱壳机镜像。 执行:

adb shell "echo com.ninemax.ncsearchnew >> /data/local/tmp/unpacker.config"

启动app等待10秒后在 /data/data/com.ninemax.ncsearchnew/unpacker 可找到dex。
在这里插入图片描述
jadx打开,发现SplashActivity中函数是完整的。
在这里插入图片描述
 

自行脱壳

OpenCommon

无论是InMemoryDexClassLoader还是DexClasslLoader,在动态加载dex时都会经过OpenCommon()与DexFile()两个函数,那么这两个函数都会是合适的脱壳点,这里以OpenCommon()为例进行修改:

// /aosp810r1/art/runtime/dex_file.cc

std::unique_ptr<DexFile> DexFile::OpenCommon(const uint8_t* base,
                                             size_t size,
                                             const std::string& location,
                                             uint32_t location_checksum,
                                             const OatDexFile* oat_dex_file,
                                             bool verify,
                                             bool verify_checksum,
                                             std::string* error_msg,
                                             VerifyResult* verify_result) {
  if (verify_result != nullptr) {
    *verify_result = VerifyResult::kVerifyNotAttempted;
  }
  std::unique_ptr<DexFile> dex_file(new DexFile(base,
                                                size,
                                                location,
                                                location_checksum,
                                                oat_dex_file));
  if (dex_file == nullptr) {
    *error_msg = StringPrintf("Failed to open dex file '%s' from memory: %s", location.c_str(),
                              error_msg->c_str());
    return nullptr;
  }
  if (!dex_file->Init(error_msg)) {
    dex_file.reset();
    return nullptr;
  }
  if (verify && !DexFileVerifier::Verify(dex_file.get(),
                                         dex_file->Begin(),
                                         dex_file->Size(),
                                         location.c_str(),
                                         verify_checksum,
                                         error_msg)) {
    if (verify_result != nullptr) {
      *verify_result = VerifyResult::kVerifyFailed;
    }
    return nullptr;
  }
  if (verify_result != nullptr) {
    *verify_result = VerifyResult::kVerifySucceeded;
  }

  //this is zyc code , dump method
  //--------------------------------------------
  const char* dirPath = "/sdcard/com.ninemax.ncsearchnew_zycdump";
  if (access(dirPath, 0) == -1){ //dir is not exists
      mkdir(dirPath, 0777);
  }
  char dexPath[100] = {0};
  sprintf(dexPath, "%s/%d_%d_OpenCommon.dex",dirPath, getpid(),(int)dex_file->Size());
  int fd = open(dexPath, O_CREAT|O_RDWR,666);
  if(fd>0){
    int ret = write(fd, dex_file->Begin(), (int)dex_file->Size());
    if(ret>0){
      ALOGD("write %s success!",dexPath);
    }
    close(fd);
  }
  //--------------------------------------------

  return dex_file;
}

LoadClassMembers

如果不执行dex2oat流程,那么ClassLinker过程中的诸多函数(如LoadClassMembers()、LoadMethod()等)将变为脱壳点,这里以LoadClassMembers()为例进行修改:

// /aosp810r1/art/runtime/class_linker.cc

void ClassLinker::LoadClassMembers(Thread* self,
                                   const DexFile& dex_file,
                                   const uint8_t* class_data,
                                   Handle<mirror::Class> klass) {
  {
    // Note: We cannot have thread suspension until the field and method arrays are setup or else
    // Class::VisitFieldRoots may miss some fields or methods.
    ScopedAssertNoThreadSuspension nts(__FUNCTION__);
    // Load static fields.
    // We allow duplicate definitions of the same field in a class_data_item
    // but ignore the repeated indexes here, b/21868015.
    LinearAlloc* const allocator = GetAllocatorForClassLoader(klass->GetClassLoader());
    ClassDataItemIterator it(dex_file, class_data);
    LengthPrefixedArray<ArtField>* sfields = AllocArtFieldArray(self,
                                                                allocator,
                                                                it.NumStaticFields());

    ......

    //this is zyc code , dump method
    //--------------------------------------------
    const char* dirPath = "/sdcard/com.ninemax.ncsearchnew_zycdump";
    if (access(dirPath, 0) == -1){ //dir is not exists
        mkdir(dirPath, 0777);
    }
    char dexPath[100] = {0};
    sprintf(dexPath, "%s/%d_%d_LoadClassMembers.dex",dirPath, getpid(),(int)dex_file.Size());
    int fd = open(dexPath, O_CREAT|O_RDWR,666);
    if(fd>0){
      int ret = write(fd, dex_file.Begin(), (int)dex_file.Size());
      if(ret>0){
        ALOGD("write %s success!",dexPath);
      }
      close(fd);
    }
    //--------------------------------------------

    DCHECK(!it.HasNext());
  }
  // Ensure that the card is marked so that remembered sets pick up native roots.
  Runtime::Current()->GetHeap()->WriteBarrierEveryFieldOf(klass.Get());
  self->AllowThreadSuspension();
}

这里设置一下dex2oat中 CompilerFilter::Filter 为仅验证,可以避免dex做任何形式的优化影响dump下来的dex文件:

  // /aosp810r1/art/dex2oat/dex2oat.cc
  
  dex2oat::ReturnCode Setup() {
    TimingLogger::ScopedTiming t("dex2oat Setup", timings_);

    ......

    // If we need to downgrade the compiler-filter for size reasons.
    if (!IsBootImage() && IsVeryLarge(dex_files_)) {
      // Disable app image to make sure dex2oat unloading is enabled.
      compiler_options_->DisableAppImage();

      // If we need to downgrade the compiler-filter for size reasons, do that early before we read
      // it below for creating verification callbacks.
      if (!CompilerFilter::IsAsGoodAs(kLargeAppFilter, compiler_options_->GetCompilerFilter())) {
        LOG(INFO) << "Very large app, downgrading to verify.";
        // Note: this change won't be reflected in the key-value store, as that had to be
        //       finalized before loading the dex files. This setup is currently required
        //       to get the size from the DexFile objects.
        // TODO: refactor. b/29790079
        compiler_options_->SetCompilerFilter(kLargeAppFilter);
      }
    }
    
    //this is zyc code , dump method
    //--------------------------------------------
    compiler_options_->SetCompilerFilter(CompilerFilter::kExtract);
    //--------------------------------------------

    ......

    return dex2oat::ReturnCode::kNoFailure;
  }

值得注意的是Android各版本CompilerFilter::Filter有所不同,具体参考:

// /aosp810r1/art/runtime/compiler_filter.h

class CompilerFilter FINAL {
 public:
  // Note: Order here matters. Later filter choices are considered "as good
  // as" earlier filter choices.
  enum Filter {
    kAssumeVerified,      // Skip verification but mark all classes as verified anyway.
    kExtract,             // Delay verication to runtime, do not compile anything.
    kVerify,              // Only verify classes.
    kQuicken,             // Verify, quicken, and compile JNI stubs.
    kSpaceProfile,        // Maximize space savings based on profile.
    kSpace,               // Maximize space savings.
    kSpeedProfile,        // Maximize runtime performance based on profile.
    kSpeed,               // Maximize runtime performance.
    kEverythingProfile,   // Compile everything capable of being compiled based on profile.
    kEverything,          // Compile everything capable of being compiled.
  };
  
  ......
}

Execute

ART模式下如不经过dex2oat编译,将使用Interpreter解释器(类的初始化函数默认始终由该解释器编译),Interpreter将会执行Execute(),而且该函数是内联函数,不容易被hook,结合上面阻断dex2oat流程部分,作出修改如下:

// /aosp810r1/art/runtime/interpreter/interpreter.cc

static inline JValue Execute(
    Thread* self,
    const DexFile::CodeItem* code_item,
    ShadowFrame& shadow_frame,
    JValue result_register,
    bool stay_in_interpreter = false) REQUIRES_SHARED(Locks::mutator_lock_) {
  DCHECK(!shadow_frame.GetMethod()->IsAbstract());
  DCHECK(!shadow_frame.GetMethod()->IsNative());

  //this is zyc code , dump method
  //--------------------------------------------
  ArtMethod* artMethod = shadow_frame.GetMethod();
  if(strstr(artMethod->PrettyMethod().c_str(),"<clinit>")){ //这里要对函数或者进程进行一定的筛选,否则系统会非常卡!
    const DexFile* dex_file = artMethod->GetDexFile();
    const char* dirPath = "/sdcard/com.ninemax.ncsearchnew_zycdump";
    if (access(dirPath, 0) == -1){ //dir is not exists
        mkdir(dirPath, 0777);
    }
    char dexPath[100] = {0};
    sprintf(dexPath, "%s/%d_%d_Execute.dex",dirPath, getpid(),(int)dex_file->Size());
    int fd = open(dexPath, O_CREAT|O_RDWR,666);
    if(fd>0){
      int ret = write(fd, dex_file->Begin(), (int)dex_file->Size());
      if(ret>0){
        ALOGD("write %s success!",dexPath);
      }
      close(fd);
    }
  }
  //--------------------------------------------

  if (LIKELY(shadow_frame.GetDexPC() == 0)) {  // Entering the method, but not via deoptimization.
    if (kIsDebugBuild) {
      self->AssertNoPendingException();
    }
    instrumentation::Instrumentation* instrumentation = Runtime::Current()->GetInstrumentation();
    ArtMethod *method = shadow_frame.GetMethod();

    if (UNLIKELY(instrumentation->HasMethodEntryListeners())) {
      instrumentation->MethodEnterEvent(self, shadow_frame.GetThisObject(code_item->ins_size_),
                                        method, 0);
      if (UNLIKELY(self->IsExceptionPending())) {
        instrumentation->MethodUnwindEvent(self,
                                           shadow_frame.GetThisObject(code_item->ins_size_),
                                           method,
                                           0);
        return JValue();
      }
    }
     
......
}

结果

刷入脱壳镜像,运行可以看到各脱壳点都dump出了dex:
在这里插入图片描述
对dump出的dex进行分析,发现LoadClassMembers和Execute两个点能正常获取到大部分源码(小部分类依旧nop),原因是我们在上面的代码中实现的是被动脱壳,没有调用到的地方依旧可能为nop,要达到更好的效果需要构建主动调用链。而OpenCommon在得到DexFile时早于App对dex的回填,内容依旧全是nop。
在这里插入图片描述
 

结论

无论是工具脱壳,还是自行脱壳,最根本的思想还是在dex加载流程中进行dump,但脱壳的时机不同,效果也会不同。由此次脱壳也不难看出,对于函数粒度的壳,结合了“脱壳点+主动调用”的Fart脱壳机镜像与Youpk脱壳机镜像效果较好,在dex2oat流程中被动调用脱壳效果其次,而在获取dex却早于回填时整体脱壳几乎无效。
 

相关资料

ART环境下基于主动调用的自动化脱壳方案
Youpk: 又一款基于ART的主动调用的脱壳机
AUPK:基于Art虚拟机的脱壳机

高新园养鸡场
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第十二章 软件(四)(代码抽取
zlmm741的博客
05-17 1501
文章目录代码抽取内存重组脱法Hook 脱法系统定制脱法脱工具 代码抽取 即第二代 主要特点 即使 DEX 已加载到内存,仍处于加密状态(所有 DEX 方法都在运行时解密) 比第一代难脱 内存重组脱法 代码抽取经历多次技术迭代 最初是将 DEXDexCode 提取后填 0,将 DEX 的所有内容保存在 APK 中,APK 运行时会在内存中动态解密,所有解密的方法内容指针位于 DEX 文件结构体外部的内存中,从而有效避免了只知道 DEX 的起始地址即可快速 D
android 反编译 逆向 vdex2dex odex2dex
02-23
"android 反编译 逆向 vdex2dex odex2dex"这个主题涉及到的是如何通过特定工具和技术来查看和理解Android应用程序的内部工作原理。在本文中,我们将深入探讨这些概念,以及它们在Android应用逆向工程中的应用。 ...
很多源码中的类android studio不能使用_使用Frida简单实现函数粒度脱
weixin_39646725的博客
12-08 391
本文为看雪论坛优秀文章看雪论坛作者ID:无造本文为看雪安卓高研2w班(6月班)优秀学员作品。下面先让我们来看看讲师对学员学习成果的点评,以及学员的学习心得吧!讲师点评不管是frida脚本的编写,还是Xposed插件的开发,ClassLoader都是绕不开的必须掌握的知识点。而对于dex中类列表的获取,最根本的还是通过获取到DexFile对象以后,自行解析其中的类列表,这就需要对dex文件...
常用的脱方法
2201_75845723的博客
07-28 1507
工具的使用方法。
强力推荐:Frida_Dump —— 动态库与DEX文件提取神器
最新发布
gitblog_00066的博客
06-25 535
强力推荐:Frida_Dump —— 动态库与DEX文件提取神器 项目地址:https://gitcode.com/r0ysue/frida_dump 在逆向工程和安全研究领域中,经常需要对Android应用进行深入分析,这往往涉及到从运行中的APP直接抽取其动态链接库(.so)或DEX字节码文件。然而,手动定位并获取这些关键资源不仅耗时且易错。为此,我们自豪地推出了frida_dump——一个基...
分享一个自己做的函数抽取
zhangmiaoping23的专栏
01-12 957
一、概述 项目中慢慢开始,写一些简单的 kotlin类了,挺方便的一个语言,借鉴了不少脚本语言的特点。刚开始用,有些点经常要翻越,特别记录下。 二、常用的几个复合符号 《Kotlin 实战》小人系列,的这本书里 画的图很清晰了,我又重画了一遍。 2.1、 ?.安全调用符 !这里写图片描述 if (foo != null){ return foo.bar() }else{ return null } 1 2 3 4 5 6 2.2、 ?: 2.3、 as? 2.4、 !! ...
05-art下的函数抽取实现
blind cat
02-26 474
参考文章: https://blog.csdn.net/zhangmiaoping23/article/details/100877907 https://blog.csdn.net/hhh901119/article/details/79526169 修复的时机点 :DexFindClass (需要早于函数被调用的时机就行) 免root进行native层hook : https://github.com/ele7enxxh/Android-Inline-Hook 1、如何阻止dex2oat 通过hook
Android 逆向】Dalvik 函数抽取 ① ( Dalvik 下的函数指令抽取与恢复 | dex 函数指令恢复时机点 | 类加载流程 : 加载、链接、初始化 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-18 2031
前言、 一、Dalvik 下的函数指令抽取与恢复、 二、dex 函数指令恢复时机点、 1、dex 函数指令恢复、 2、Android 源码中搜索 dexFindClass 函数、 3、类加载流程 : 加载、链接、初始化、
Android 逆向】Dalvik 函数抽取 ⑥ ( 函数抽取实现 | 函数抽取 | 函数还原 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-29 668
一、函数抽取、 二、函数还原、 相关参考博客
Android一二三代加固原理分析,代码实现ART下抽取
01-12
本文将深入探讨Android一二三代加固原理,包括抽取、VMP加固以及DEX2C技术,分析其实现源码。 1. **抽取原理**: 加固的核心是改变原本的类加载机制,抽取的原理就是将原始的.dex文件(包含应用代码)从...
Android软件安全逆向分析_带书签_Android软件安全逆向分析_带书签_android_
09-29
Android软件安全逆向分析》是一本深入探讨Android应用安全逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
AndroidDexLoader:Android动态加载dex,apk文件
06-16
Android开发中,AndroidDexLoader是一个关键的概念,它涉及到应用程序在运行时动态加载dex(Dalvik Executable)或apk文件的能力。这种技术通常用于实现插件化、热更新或者模块化开发,允许应用程序在不更新整个...
loaddex:android 动态加载dex
05-20
android 动态加载dex 工作原理:首先把需要动态加载的部分导出jar,然后用sdk中的命令把jar编译成dex的jar,在代码中用classloader来加载编译好的jar就可以了,在原始包中如果要调用dex中的方法,需要用反射的方式...
函数抽取工具 fart代码阅读
flygle~的博客
05-10 974
这里传null 是有讲究的 过滤如果传进来的是我们伪造的invoke调用 直接return 不执行 但是这时候其实已经触发函数解密 直接保存即可。具体实现在 art\runtime\native\dalvik_system_DexFile.cc。4 通过调用DexFile自定义的函数从而主动调用实现类dump。dumpArtMethod fart 的核心函数 即保存dex。该函数是一个native 函数 参数为一个 method 对象。1 获取当前应用的类加载器 的 (类列表)反射使函数可以调用。
FART彻底搞定函数抽取
u014753748的博客
09-24 9067
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
简单尝试脱某加固的DEX--二代抽取(dexhunter)
zhangmiaoping23的专栏
12-13 1111
0x00 序 第一次尝试脱dex,样本是在“*****”官网上免费加固的,非商业版。 本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。0x01 加固包和原包对比 加固后的classes.dex文件变大了,脱到JEB里面发现多了一些代码和一些垃圾类(jpvbhn、cioub、flsye…)。 原包中,很多类方法的指令被抽空了,如下面的onCreate。 将assets目...
DEX保护之指令抽取
weixin_34294649的博客
06-11 1019
引言首先我们需要了解一代的原理,一代是对dex文件进行加密,反编译只能看见程序的代码,只能通过IDA动态调试或者使用Xposed等HOOK框架,hook相关API在App运行时dump出解密后的dex文件,这两种方法都是通过内存dump出解密后的dex文件来进行脱的。针对上面一代的简单描述,我们引出二代的功能:防止内存dump出dex文件指令抽取概念将需要保护的源...
Android加固与脱学习之linux基础和抽取dex
jmp esp
11-13 1473
文件系统暴露信息重要的几个文件系统包括: /proc/pid/maps 内存映射 /proc/pid/task 子线程 /proc/pid/mem 进程持有的内存,不可读 /proc/pid/cmdline 启动时相关 /proc/pid/status 进程状态1.可通过ps查看到pid 2.通过cat命令查看到proc文件系统对应的相关信息。 3.如果需要dump信息可以通过dd来达
android:Error while merging dex archives:怎么解决
05-25
这个错误通常是由于依赖库冲突导致的,可以尝试以下几种解决方法: 1. 清理项目并重新构建:在Android Studio中,选择Build -> Clean Project,然后选择Build -> Rebuild Project。 2. 排除冲突的依赖项:在build.gradle文件中,使用exclude语句排除冲突的依赖项,例如: ``` implementation('com.example.library:library:1.0.0') { exclude group: 'com.google.guava', module: 'listenablefuture' } ``` 3. 使用多Dex:如果应用程序中包含太多的方法数,则可以启用多Dex支持。在build.gradle文件中,使用以下语句启用多Dex: ``` android { defaultConfig { ... multiDexEnabled true } } ``` 然后在应用程序类中添加以下代码: ``` public class MyApplication extends Application { @Override protected void attachBaseContext(Context base) { super.attachBaseContext(base); MultiDex.install(this); } } ``` 希望以上方法可以帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值