[原创]ALICTF2014 evilAPK400完整脱壳分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]ALICTF2014 evilAPK400完整脱壳分析

发表于: 2014-9-30 00:28 49993

[原创]ALICTF2014 evilAPK400完整脱壳分析

万抽抽

2014-9-30 00:28

49993

这是ALICTF2014的EvilApk 400pt的脱壳分析笔记。据说这是阿里加固小组做的初级版本，但我这种小菜也是被搞的脑洞大开。分析断断续续花了4天，文档就写了2天，简直惨~期间也是学到了很多新知识，不敢藏私，果断分享。文中肯定有很多不对的地方，望大牛们斧正！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

aliEvilAPK_4分析.zip （1.20MB，1828次下载）

收藏・52

免费・4

支持

最新回复 (52) 1 2 3 ▶
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 2 楼抽抽，威武 2014-9-30 00:30 0
DeepNoite 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	DeepNoite 3 楼不错最近我也在研究这个 2014-9-30 00:33 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 4 楼感谢抽抽深夜放福利 2014-9-30 00:35 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 5 楼前排支持，感谢抽抽的辛苦付出。 2014-9-30 00:54 0
小强！雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 72 粉丝 0 关注私信	小强！ 6 楼不错不错不错牛逼、、下载了 2014-9-30 01:05 0
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 7 楼臭臭出品必顶 2014-9-30 01:50 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 8 楼多谢分享〜〜 2014-9-30 07:39 0
lonelykin 雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	lonelykin 9 楼多谢分享〜〜 2014-9-30 07:53 0
vVv一雪币： 232 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 10 楼好帖必须支持～ 2014-9-30 07:58 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 11 楼抽抽威武！ 2014-9-30 08:41 0
淡然出尘雪币： 4 活跃值： (781) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 12 楼抽抽威武顶~ 2014-9-30 09:00 0
pwelyn 雪币： 427 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 103 粉丝 0 关注私信	pwelyn 13 楼支持一下感谢楼主分享 2014-9-30 09:56 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 14 楼神一样的沙发速度~ 2014-9-30 09:58 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 15 楼大家也是睡得晚~~我就不一一回复啦，感谢支持！ 2014-9-30 10:00 0
Xbalien 雪币： 182 活跃值： (178) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 68 粉丝 1 关注私信	Xbalien 4 16 楼赞一个抽抽 2014-9-30 15:53 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 17 楼回头有空我也发一个攻略，让大家见识一下什么叫坑爹，就因为一个int的问题，卡了好几天~~~ 这个其实很简单，直接dump就行，没必要费劲分析，log已经把过程说得很清楚了。 2014-9-30 17:05 0
Nermor 雪币： 138 活跃值： (475) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 18 楼 android 加密都三分天下了， lz 这功力不错呀 2014-9-30 18:04 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 19 楼求告知怎么个dump法呢？他的dexCode和dex主体分离在了不同的内存区域。是将整个区域都dump下来么？ 2014-9-30 18:27 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 20 楼没有分离啊 http://bbs.pediy.com/showthread.php?t=192865 2014-9-30 18:29 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 21 楼额...这就是分离了。你是直接将相关的整个内存区域都dump了下来，如果我有意识的将两者内存地址拉开很大的话(通过制定mmap首地址，让两者差距几十，几百MB)，那就得dump很大的内存区域了。最主要的是，我并非是以解题为目的哈，主要是为了研究它具体地加壳机制，所以花费了大量的时间精力来分析~这样直接dump内存块就是纯粹的为了破解而逆向了~能学到的东西基本为0吧。 2014-9-30 18:44 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 22 楼其实关键就是那个loop而已，脱壳这种事，只要能脱下来就行，我还是坚持怎么简单怎么来的原则。也算是分离，但是估计不能拉开很大距离，因为之后要调用openDexFile来加载内存中的dex文件。当然，具体能不能我还要再翻翻源码 2014-9-30 18:54 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 23 楼哈哈，因为我近段时间比较闲要是也像你们大牛这么忙的话，肯定走简单路线啦。 2014-9-30 19:00 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 24 楼我刚确认了一下，是可以分离的，应该是不影响dalvik的解析，因为正常运行了 2014-9-30 19:10 0
wule 雪币： 275 活跃值： (254) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 98 粉丝 11 关注私信	wule 2 25 楼抽抽前辈简直不能nice更多。。 2014-9-30 23:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

万抽抽

发帖

201

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 2 楼抽抽，威武 2014-9-30 00:30 0
DeepNoite 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	DeepNoite 3 楼不错最近我也在研究这个 2014-9-30 00:33 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 4 楼感谢抽抽深夜放福利 2014-9-30 00:35 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 5 楼前排支持，感谢抽抽的辛苦付出。 2014-9-30 00:54 0
小强！雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 72 粉丝 0 关注私信	小强！ 6 楼不错不错不错牛逼、、下载了 2014-9-30 01:05 0
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 7 楼臭臭出品必顶 2014-9-30 01:50 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 8 楼多谢分享〜〜 2014-9-30 07:39 0
lonelykin 雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	lonelykin 9 楼多谢分享〜〜 2014-9-30 07:53 0
vVv一雪币： 232 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 10 楼好帖必须支持～ 2014-9-30 07:58 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 11 楼抽抽威武！ 2014-9-30 08:41 0
淡然出尘雪币： 4 活跃值： (781) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 12 楼抽抽威武顶~ 2014-9-30 09:00 0
pwelyn 雪币： 427 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 103 粉丝 0 关注私信	pwelyn 13 楼支持一下感谢楼主分享 2014-9-30 09:56 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 14 楼神一样的沙发速度~ 2014-9-30 09:58 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 15 楼大家也是睡得晚~~我就不一一回复啦，感谢支持！ 2014-9-30 10:00 0
Xbalien 雪币： 182 活跃值： (178) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 68 粉丝 1 关注私信	Xbalien 4 16 楼赞一个抽抽 2014-9-30 15:53 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 17 楼回头有空我也发一个攻略，让大家见识一下什么叫坑爹，就因为一个int的问题，卡了好几天~~~ 这个其实很简单，直接dump就行，没必要费劲分析，log已经把过程说得很清楚了。 2014-9-30 17:05 0
Nermor 雪币： 138 活跃值： (475) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 18 楼 android 加密都三分天下了， lz 这功力不错呀 2014-9-30 18:04 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 19 楼求告知怎么个dump法呢？他的dexCode和dex主体分离在了不同的内存区域。是将整个区域都dump下来么？ 2014-9-30 18:27 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 20 楼没有分离啊 http://bbs.pediy.com/showthread.php?t=192865 2014-9-30 18:29 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 21 楼额...这就是分离了。你是直接将相关的整个内存区域都dump了下来，如果我有意识的将两者内存地址拉开很大的话(通过制定mmap首地址，让两者差距几十，几百MB)，那就得dump很大的内存区域了。最主要的是，我并非是以解题为目的哈，主要是为了研究它具体地加壳机制，所以花费了大量的时间精力来分析~这样直接dump内存块就是纯粹的为了破解而逆向了~能学到的东西基本为0吧。 2014-9-30 18:44 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 22 楼其实关键就是那个loop而已，脱壳这种事，只要能脱下来就行，我还是坚持怎么简单怎么来的原则。也算是分离，但是估计不能拉开很大距离，因为之后要调用openDexFile来加载内存中的dex文件。当然，具体能不能我还要再翻翻源码 2014-9-30 18:54 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 23 楼哈哈，因为我近段时间比较闲要是也像你们大牛这么忙的话，肯定走简单路线啦。 2014-9-30 19:00 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 24 楼我刚确认了一下，是可以分离的，应该是不影响dalvik的解析，因为正常运行了 2014-9-30 19:10 0
wule 雪币： 275 活跃值： (254) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 98 粉丝 11 关注私信	wule 2 25 楼抽抽前辈简直不能nice更多。。 2014-9-30 23:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复