[原创]ALICTF2014 evilAPK400完整脱壳分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]ALICTF2014 evilAPK400完整脱壳分析

2014-9-30 00:28 49410

[原创]ALICTF2014 evilAPK400完整脱壳分析

万抽抽

2014-9-30 00:28

49410

查看主题内容

收藏・52

免费・4

打赏

最新回复 (52) ◀ 1 2 3 ▶
hkfans 雪币： 576 活跃值： (1148) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 2014-11-13 14:21 26 楼 0 楼主好人啊。。这文章很精彩。。让我们这种菜鸟认识了安卓壳的基本原理
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2014-11-18 17:45 27 楼 0 下载了，学习下先，感谢分享~~
ilovetufu 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ilovetufu 2014-11-19 09:46 28 楼 0 楼主威武、360加固保有办法搞定没有？
川美雪币： 134 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 2015-1-5 15:18 29 楼 0 感谢深夜放福利
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 2015-1-5 15:43 30 楼 0 楼主威武，下载学习。
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 2015-1-5 15:55 31 楼 0 支持下。。。。。。。。。。。。。
cheapyu 雪币： 206 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	cheapyu 2015-1-5 20:05 32 楼 0 第三方加固怎么解啊
dunwin 雪币： 274 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	dunwin 2015-1-6 11:35 33 楼 0 支持 ·
sylyw 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	sylyw 2015-1-7 14:48 34 楼 0 大神的文章，学习学习。。
qihuan风云雪币： 205 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	qihuan风云 2015-1-22 16:56 35 楼 0 学习一下
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 2015-2-3 00:32 36 楼 0 标记学习，感谢分享思路
kevinjian 雪币： 87 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	kevinjian 2015-2-3 22:05 37 楼 0 感谢分享，后排支持
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2015-2-10 13:14 38 楼 0 威武！学习
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 2015-3-2 16:24 39 楼 0 可能下面我提的问题比较菜，很渴望得到作者及各位大神的热心解答，在看完了这片脱壳分析的帖子之后，做了尝试，看了作者的文档分析，觉得非常好，并且看了好两天，但是有些谜团仍然没有揭开，下面是我得问题？分析过程的遗留问题： 1.到底函数的头在哪里，是不是在JNI_Onload呢，但到底是从哪里开始跳转向KeyFunction的呢？（这个过程是怎么执行得呢），在一开始得Application中得几个native方法是怎么执行得呢？ 2.ali:isDalvik这个变量到底指代的是什么呢，在arm汇编中这些临时变量的值在哪里呢？为什么要取ali:isDalvik的第一个字节来判断是否为0呢，这个到底代表什么？？ 3.r0=struct1,可是为什么struct1中0x8偏移处又保存的是cls.jar的绝对地址了呢，前面分析的时候是把内存中读到的1024个字节数据的收地址放在了struct1中0x8偏移处阿，怎么现在成了cls.jar的绝对地址呢，这个1024个字节到底是什么东西？？？ 4.在查找内存加载函数的时候，首先是找到libdvm.so的位置，然后再在libdvm.so中查找相应的内存加载函数，这里就是查找openDexFile函数（这是针对4.0以上的情况）,但是分析汇编代码的时候，为什么看到作者是这么写的，先通过dlsym获取dvm_dalvik_system_DexFile这个符号，然后再通过lookup这个函数来查找openDexFile这个函数呢（当然，这里都是针对4.0以上的情况来说的）
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2015-3-2 17:01 40 楼 0 欢迎参加ALICTF 2015
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-3-2 20:43 41 楼 0 学习逆向，多百度/google，多学习相关理论知识还是很有必要的。从你的问题来看，相关理论知识不是很了解，建议花点时间充充电第一个问题：这方面的知识不是一两句能说清楚的，不过你可以从google或linker源码中找到答案，简要一句话就是“so文件的init段中的函数(如果有的话)是在加载完so之后第一时间执行的，比jni_onload早”，而你说的函数的头，就是init段里面的函数~~ 第二个问题ali:isDalvik是一个全局变量，它是在ali::init_classes函数里面进行初始化的，至于“为什么要取ali:isDalvik的第一个字节来判断是否为0”，是因为在这个init_classes函数里面设定了ali:isDalvik的第一个字节为0，来表示处于DVM运行环境~因为整个加固都是基于DVM的。第三个问题：可能是我的描述不准确，将“绝对地址”改为“绝对路径”你应该就不会迷糊了~~~ 至于第四个问题：我建议你多看看dlopen dlsym机制之后再回想一下，这个真的不是个问题~~ 共勉~
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-3-2 20:44 42 楼 0 亲，你确定我也可以参加？
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 2015-3-3 09:49 43 楼 0 谢谢万大神的悉心教导，确实发现你指出的一些关键点，我也总结了下：之前虽然看过linker这方面的一些东西，但是发现是一些皮毛，没有很深入地去与实际场景比较，因此造成现在出现这种疑难杂症，我同时也发现自己对源码地阅读还是处于第一个阶段，比较粗浅，所以以后以后一定多多努力！这些问题困扰了我挺长时间的，再次谢谢你的诚挚解答啊，以后有问题可能还要多向你讨教，谢谢！
sellenw 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sellenw 2015-3-6 11:26 44 楼 0 研究一下。
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 2015-5-12 18:10 45 楼 0 喜欢这种
逯岩枯松雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	逯岩枯松 2015-5-18 11:55 46 楼 0 抽抽，威武
深圳海涛雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	深圳海涛 2015-9-20 02:20 47 楼 0 不错最近我也在研究这个
川zi 雪币： 28 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	川zi 2015-9-20 22:54 48 楼 0 在其他地方看到wanchouchou感觉熟悉，原来在这里
northriver 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	northriver 2015-9-25 15:02 49 楼 0 楼主能分享一下原版的apk文件吗，想复现一下。。。。
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-9-26 00:42 50 楼 0 这个时间过于久远，我也找不到了。你论坛里面搜搜看。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

万抽抽

发帖

201

回帖

120

RANK

关注

私信

他的文章

[原创]动态调试系列之一（启动调试辅助脚本实现）

[原创]AndroidManifest Ambiguity方案原理及代码

[原创]ALICTF2014 evilAPK400完整脱壳分析

[原创]360crackme SO脱壳笔记

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
hkfans 雪币： 576 活跃值： (1148) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 2014-11-13 14:21 26 楼 0 楼主好人啊。。这文章很精彩。。让我们这种菜鸟认识了安卓壳的基本原理
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2014-11-18 17:45 27 楼 0 下载了，学习下先，感谢分享~~
ilovetufu 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ilovetufu 2014-11-19 09:46 28 楼 0 楼主威武、360加固保有办法搞定没有？
川美雪币： 134 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 2015-1-5 15:18 29 楼 0 感谢深夜放福利
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 2015-1-5 15:43 30 楼 0 楼主威武，下载学习。
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 2015-1-5 15:55 31 楼 0 支持下。。。。。。。。。。。。。
cheapyu 雪币： 206 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	cheapyu 2015-1-5 20:05 32 楼 0 第三方加固怎么解啊
dunwin 雪币： 274 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	dunwin 2015-1-6 11:35 33 楼 0 支持 ·
sylyw 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	sylyw 2015-1-7 14:48 34 楼 0 大神的文章，学习学习。。
qihuan风云雪币： 205 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	qihuan风云 2015-1-22 16:56 35 楼 0 学习一下
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 2015-2-3 00:32 36 楼 0 标记学习，感谢分享思路
kevinjian 雪币： 87 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	kevinjian 2015-2-3 22:05 37 楼 0 感谢分享，后排支持
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2015-2-10 13:14 38 楼 0 威武！学习
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 2015-3-2 16:24 39 楼 0 可能下面我提的问题比较菜，很渴望得到作者及各位大神的热心解答，在看完了这片脱壳分析的帖子之后，做了尝试，看了作者的文档分析，觉得非常好，并且看了好两天，但是有些谜团仍然没有揭开，下面是我得问题？分析过程的遗留问题： 1.到底函数的头在哪里，是不是在JNI_Onload呢，但到底是从哪里开始跳转向KeyFunction的呢？（这个过程是怎么执行得呢），在一开始得Application中得几个native方法是怎么执行得呢？ 2.ali:isDalvik这个变量到底指代的是什么呢，在arm汇编中这些临时变量的值在哪里呢？为什么要取ali:isDalvik的第一个字节来判断是否为0呢，这个到底代表什么？？ 3.r0=struct1,可是为什么struct1中0x8偏移处又保存的是cls.jar的绝对地址了呢，前面分析的时候是把内存中读到的1024个字节数据的收地址放在了struct1中0x8偏移处阿，怎么现在成了cls.jar的绝对地址呢，这个1024个字节到底是什么东西？？？ 4.在查找内存加载函数的时候，首先是找到libdvm.so的位置，然后再在libdvm.so中查找相应的内存加载函数，这里就是查找openDexFile函数（这是针对4.0以上的情况）,但是分析汇编代码的时候，为什么看到作者是这么写的，先通过dlsym获取dvm_dalvik_system_DexFile这个符号，然后再通过lookup这个函数来查找openDexFile这个函数呢（当然，这里都是针对4.0以上的情况来说的）
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2015-3-2 17:01 40 楼 0 欢迎参加ALICTF 2015
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-3-2 20:43 41 楼 0 学习逆向，多百度/google，多学习相关理论知识还是很有必要的。从你的问题来看，相关理论知识不是很了解，建议花点时间充充电第一个问题：这方面的知识不是一两句能说清楚的，不过你可以从google或linker源码中找到答案，简要一句话就是“so文件的init段中的函数(如果有的话)是在加载完so之后第一时间执行的，比jni_onload早”，而你说的函数的头，就是init段里面的函数~~ 第二个问题ali:isDalvik是一个全局变量，它是在ali::init_classes函数里面进行初始化的，至于“为什么要取ali:isDalvik的第一个字节来判断是否为0”，是因为在这个init_classes函数里面设定了ali:isDalvik的第一个字节为0，来表示处于DVM运行环境~因为整个加固都是基于DVM的。第三个问题：可能是我的描述不准确，将“绝对地址”改为“绝对路径”你应该就不会迷糊了~~~ 至于第四个问题：我建议你多看看dlopen dlsym机制之后再回想一下，这个真的不是个问题~~ 共勉~
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-3-2 20:44 42 楼 0 亲，你确定我也可以参加？
chitcrazy 雪币： 47 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 77 粉丝 0 关注私信	chitcrazy 2015-3-3 09:49 43 楼 0 谢谢万大神的悉心教导，确实发现你指出的一些关键点，我也总结了下：之前虽然看过linker这方面的一些东西，但是发现是一些皮毛，没有很深入地去与实际场景比较，因此造成现在出现这种疑难杂症，我同时也发现自己对源码地阅读还是处于第一个阶段，比较粗浅，所以以后以后一定多多努力！这些问题困扰了我挺长时间的，再次谢谢你的诚挚解答啊，以后有问题可能还要多向你讨教，谢谢！
sellenw 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sellenw 2015-3-6 11:26 44 楼 0 研究一下。
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 2015-5-12 18:10 45 楼 0 喜欢这种
逯岩枯松雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	逯岩枯松 2015-5-18 11:55 46 楼 0 抽抽，威武
深圳海涛雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	深圳海涛 2015-9-20 02:20 47 楼 0 不错最近我也在研究这个
川zi 雪币： 28 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	川zi 2015-9-20 22:54 48 楼 0 在其他地方看到wanchouchou感觉熟悉，原来在这里
northriver 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	northriver 2015-9-25 15:02 49 楼 0 楼主能分享一下原版的apk文件吗，想复现一下。。。。
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 30 关注私信	万抽抽 2 2015-9-26 00:42 50 楼 0 这个时间过于久远，我也找不到了。你论坛里面搜搜看。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复