[原创]某加密新版动态脱壳-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某加密新版动态脱壳

发表于: 2014-7-22 20:04 25759

[原创]某加密新版动态脱壳

我是小三

2014-7-22 20:04

25759

通过IDA动态调式绕过反调试进行脱壳, 下面是一个简单的apk测试, 将我脱壳步骤记录下来与大家交流学习。(高手莫要见笑，没有任何目的,仅供小菜玩乐)

登录后可查看完整内容

上传的附件：

文档及样本.zip （1.43MB，1149次下载）

收藏・28

免费・3

支持

最新回复 (35) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼先down 了。防删贴补丁。 2014-7-22 20:17 0
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 3 楼神龙神龙，我来顶你···· 分析速度非常快，赞一个····· 2014-7-22 20:28 0
xiaocezi 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	xiaocezi 4 楼朋友，软件能发上来吗 2014-7-23 09:37 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 5 楼蚤年，不能。。 2014-7-23 09:48 0
xiaocezi 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	xiaocezi 6 楼 o，我是指你的apk,原来压缩包有 2014-7-23 10:28 0
非虫雪币： 2307 活跃值： (1003) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 7 楼谢谢分享。 2014-7-23 12:22 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 8 楼学习了，谢谢分享！ 2014-7-23 13:03 0
天天安全雪币： 251 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	天天安全 9 楼正好在看这方面的东西，谢谢分享！ 2014-7-23 13:46 0
kilybeer 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	kilybeer 10 楼大神，能解释一下原理不？修改fgets的返回值原理是什么? 2014-7-23 14:52 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 11 楼我不是什么大神, 修改fgets的返回值是因为要修 TracerPid 的值, 因为在调试状态下不为0 是跟踪当前进程的进程ID, 如果是0,表示没有跟踪,所以就改成0了. 2014-7-23 14:57 0
lizhenzhe 雪币： 500 活跃值： (905) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 12 楼楼主ida用的是哪个版本，正版的吗 2014-7-23 15:06 0
kilybeer 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	kilybeer 13 楼下面是我的理解，不知道正不正确： APK通过调用fgets来获取TracePid的值，发现如果不是0，则说明程序被调试了，于是终止运行。我们要调试，又不想APK发现，于是就修改fgets的返回值，这样就达到了我们的目的。多谢楼主无私分享，又学习了。 2014-7-23 15:10 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 14 楼看到ida 6.6 屌丝醉了 2014-7-23 16:29 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 15 楼 ida 6.6 ？哪能下载到？ 2014-7-23 16:33 0
ThomasKing 雪币： 370 活跃值： (1175) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 168 关注私信	ThomasKing 6 16 楼 ida6.6.... 2014-7-23 16:54 0
daliands 雪币： 60 活跃值： (293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	daliands 17 楼真有钱，不知道包不包括了ARM插件，赞一个 2014-7-23 17:36 0
天涯一鸿雪币： 1050 活跃值： (1233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 18 楼 ida6.6应该不是必须的…… PS：连老外都不会把这么值钱的东西放出来~所以就不要幻想啦……不过老外应该对版权的意识也更高~说不准，总之有啥用啥嘛……最后都能达成目的的 2014-7-23 19:03 0
暖洋洋雪币： 10672 活跃值： (3744) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 19 楼大神，感谢分享了 2014-7-23 20:43 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 20 楼感谢楼主分享很受用 2014-7-25 12:00 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 21 楼 mark，学习学习！谢楼主分享啊 2014-7-25 12:58 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 22 楼感谢分享~ 2014-7-27 10:57 0
无心无聊雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	无心无聊 23 楼 ida6.6目测大老有 so文件谁帮忙脱壳了？附件lib.7z 上传的附件： lib.7z （21.19kb，15次下载） 2014-8-3 09:03 0
曜瞳雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	曜瞳 24 楼楼主我看到是成功的附加到进程之后才进行的反调试操作，但是正常的反调试是附加到进程之后检测函数会立刻kill掉当前进程，不会给分析者attach成功的机会，请问楼主是如何绕过这一点进行调试的呢？ 2014-8-19 10:55 0
openggg 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	openggg 25 楼留名日后下载 2014-8-19 11:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

我是小三

发帖

140

回帖

550

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼先down 了。防删贴补丁。 2014-7-22 20:17 0
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 3 楼神龙神龙，我来顶你···· 分析速度非常快，赞一个····· 2014-7-22 20:28 0
xiaocezi 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	xiaocezi 4 楼朋友，软件能发上来吗 2014-7-23 09:37 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 5 楼蚤年，不能。。 2014-7-23 09:48 0
xiaocezi 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	xiaocezi 6 楼 o，我是指你的apk,原来压缩包有 2014-7-23 10:28 0
非虫雪币： 2307 活跃值： (1003) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 7 楼谢谢分享。 2014-7-23 12:22 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 8 楼学习了，谢谢分享！ 2014-7-23 13:03 0
天天安全雪币： 251 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	天天安全 9 楼正好在看这方面的东西，谢谢分享！ 2014-7-23 13:46 0
kilybeer 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	kilybeer 10 楼大神，能解释一下原理不？修改fgets的返回值原理是什么? 2014-7-23 14:52 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 11 楼我不是什么大神, 修改fgets的返回值是因为要修 TracerPid 的值, 因为在调试状态下不为0 是跟踪当前进程的进程ID, 如果是0,表示没有跟踪,所以就改成0了. 2014-7-23 14:57 0
lizhenzhe 雪币： 500 活跃值： (905) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 12 楼楼主ida用的是哪个版本，正版的吗 2014-7-23 15:06 0
kilybeer 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	kilybeer 13 楼下面是我的理解，不知道正不正确： APK通过调用fgets来获取TracePid的值，发现如果不是0，则说明程序被调试了，于是终止运行。我们要调试，又不想APK发现，于是就修改fgets的返回值，这样就达到了我们的目的。多谢楼主无私分享，又学习了。 2014-7-23 15:10 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 14 楼看到ida 6.6 屌丝醉了 2014-7-23 16:29 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 15 楼 ida 6.6 ？哪能下载到？ 2014-7-23 16:33 0
ThomasKing 雪币： 370 活跃值： (1175) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 168 关注私信	ThomasKing 6 16 楼 ida6.6.... 2014-7-23 16:54 0
daliands 雪币： 60 活跃值： (293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	daliands 17 楼真有钱，不知道包不包括了ARM插件，赞一个 2014-7-23 17:36 0
天涯一鸿雪币： 1050 活跃值： (1233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 18 楼 ida6.6应该不是必须的…… PS：连老外都不会把这么值钱的东西放出来~所以就不要幻想啦……不过老外应该对版权的意识也更高~说不准，总之有啥用啥嘛……最后都能达成目的的 2014-7-23 19:03 0
暖洋洋雪币： 10672 活跃值： (3744) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 19 楼大神，感谢分享了 2014-7-23 20:43 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 20 楼感谢楼主分享很受用 2014-7-25 12:00 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 21 楼 mark，学习学习！谢楼主分享啊 2014-7-25 12:58 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 22 楼感谢分享~ 2014-7-27 10:57 0
无心无聊雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	无心无聊 23 楼 ida6.6目测大老有 so文件谁帮忙脱壳了？附件lib.7z 上传的附件： lib.7z （21.19kb，15次下载） 2014-8-3 09:03 0
曜瞳雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	曜瞳 24 楼楼主我看到是成功的附加到进程之后才进行的反调试操作，但是正常的反调试是附加到进程之后检测函数会立刻kill掉当前进程，不会给分析者attach成功的机会，请问楼主是如何绕过这一点进行调试的呢？ 2014-8-19 10:55 0
openggg 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	openggg 25 楼留名日后下载 2014-8-19 11:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复