[原创]ALICTF2014 evilAPK400完整脱壳分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]ALICTF2014 evilAPK400完整脱壳分析

2014-9-30 00:28 49322

[原创]ALICTF2014 evilAPK400完整脱壳分析

万抽抽

2014-9-30 00:28

49322

这是ALICTF2014的EvilApk 400pt的脱壳分析笔记。据说这是阿里加固小组做的初级版本，但我这种小菜也是被搞的脑洞大开。分析断断续续花了4天，文档就写了2天，简直惨~期间也是学到了很多新知识，不敢藏私，果断分享。文中肯定有很多不对的地方，望大牛们斧正！

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

上传的附件：

aliEvilAPK_4分析.zip （1.20MB，1826次下载）

收藏・52

点赞・1

打赏

最新回复 (52) 1 2 3 ▶
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 2014-9-30 00:30 2 楼 0 抽抽，威武
DeepNoite 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	DeepNoite 2014-9-30 00:33 3 楼 0 不错最近我也在研究这个
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 2014-9-30 00:35 4 楼 0 感谢抽抽深夜放福利
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 259 粉丝 6 关注私信	鬼谷子c 1 2014-9-30 00:54 5 楼 0 前排支持，感谢抽抽的辛苦付出。
小强！雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 73 粉丝 0 关注私信	小强！ 2014-9-30 01:05 6 楼 0 不错不错不错牛逼、、下载了
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 7 关注私信	boyliang 5 2014-9-30 01:50 7 楼 0 臭臭出品必顶
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 127 关注私信	熊猫正正 9 2014-9-30 07:39 8 楼 0 多谢分享〜〜
lonelykin 雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	lonelykin 2014-9-30 07:53 9 楼 0 多谢分享〜〜
vVv一雪币： 121 活跃值： (1197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 2014-9-30 07:58 10 楼 0 好帖必须支持～
ThomasKing 雪币： 370 活跃值： (1181) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 207 粉丝 156 关注私信	ThomasKing 6 2014-9-30 08:41 11 楼 0 抽抽威武！
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 2014-9-30 09:00 12 楼 0 抽抽威武顶~
pwelyn 雪币： 427 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 103 粉丝 0 关注私信	pwelyn 2014-9-30 09:56 13 楼 0 支持一下感谢楼主分享
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 09:58 14 楼 0 神一样的沙发速度~
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 10:00 15 楼 0 大家也是睡得晚~~我就不一一回复啦，感谢支持！
Xbalien 雪币： 182 活跃值： (173) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 68 粉丝 1 关注私信	Xbalien 4 2014-9-30 15:53 16 楼 0 赞一个抽抽
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 17:05 17 楼 0 回头有空我也发一个攻略，让大家见识一下什么叫坑爹，就因为一个int的问题，卡了好几天~~~ 这个其实很简单，直接dump就行，没必要费劲分析，log已经把过程说得很清楚了。
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 376 粉丝 2 关注私信	Nermor 1 2014-9-30 18:04 18 楼 0 android 加密都三分天下了， lz 这功力不错呀
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 18:27 19 楼 0 求告知怎么个dump法呢？他的dexCode和dex主体分离在了不同的内存区域。是将整个区域都dump下来么？
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 18:29 20 楼 0 没有分离啊 http://bbs.pediy.com/showthread.php?t=192865
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 18:44 21 楼 0 额...这就是分离了。你是直接将相关的整个内存区域都dump了下来，如果我有意识的将两者内存地址拉开很大的话(通过制定mmap首地址，让两者差距几十，几百MB)，那就得dump很大的内存区域了。最主要的是，我并非是以解题为目的哈，主要是为了研究它具体地加壳机制，所以花费了大量的时间精力来分析~这样直接dump内存块就是纯粹的为了破解而逆向了~能学到的东西基本为0吧。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 18:54 22 楼 0 其实关键就是那个loop而已，脱壳这种事，只要能脱下来就行，我还是坚持怎么简单怎么来的原则。也算是分离，但是估计不能拉开很大距离，因为之后要调用openDexFile来加载内存中的dex文件。当然，具体能不能我还要再翻翻源码
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 19:00 23 楼 0 哈哈，因为我近段时间比较闲要是也像你们大牛这么忙的话，肯定走简单路线啦。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 19:10 24 楼 0 我刚确认了一下，是可以分离的，应该是不影响dalvik的解析，因为正常运行了
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2014-9-30 23:19 25 楼 0 抽抽前辈简直不能nice更多。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

万抽抽

发帖

202

回帖

120

RANK

关注

私信

他的文章

[原创]动态调试系列之一（启动调试辅助脚本实现）

[原创]AndroidManifest Ambiguity方案原理及代码

[原创]ALICTF2014 evilAPK400完整脱壳分析

[原创]360crackme SO脱壳笔记

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 2014-9-30 00:30 2 楼 0 抽抽，威武
DeepNoite 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	DeepNoite 2014-9-30 00:33 3 楼 0 不错最近我也在研究这个
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 2014-9-30 00:35 4 楼 0 感谢抽抽深夜放福利
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 259 粉丝 6 关注私信	鬼谷子c 1 2014-9-30 00:54 5 楼 0 前排支持，感谢抽抽的辛苦付出。
小强！雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 73 粉丝 0 关注私信	小强！ 2014-9-30 01:05 6 楼 0 不错不错不错牛逼、、下载了
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 7 关注私信	boyliang 5 2014-9-30 01:50 7 楼 0 臭臭出品必顶
熊猫正正雪币： 2321 活跃值： (4028) 能力值： ( LV12，RANK：530 ) 在线值：发帖 139 回帖 856 粉丝 127 关注私信	熊猫正正 9 2014-9-30 07:39 8 楼 0 多谢分享〜〜
lonelykin 雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	lonelykin 2014-9-30 07:53 9 楼 0 多谢分享〜〜
vVv一雪币： 121 活跃值： (1197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 2014-9-30 07:58 10 楼 0 好帖必须支持～
ThomasKing 雪币： 370 活跃值： (1181) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 207 粉丝 156 关注私信	ThomasKing 6 2014-9-30 08:41 11 楼 0 抽抽威武！
淡然出尘雪币： 4 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 112 粉丝 0 关注私信	淡然出尘 2014-9-30 09:00 12 楼 0 抽抽威武顶~
pwelyn 雪币： 427 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 103 粉丝 0 关注私信	pwelyn 2014-9-30 09:56 13 楼 0 支持一下感谢楼主分享
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 09:58 14 楼 0 神一样的沙发速度~
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 10:00 15 楼 0 大家也是睡得晚~~我就不一一回复啦，感谢支持！
Xbalien 雪币： 182 活跃值： (173) 能力值： ( LV12，RANK：210 ) 在线值：发帖 24 回帖 68 粉丝 1 关注私信	Xbalien 4 2014-9-30 15:53 16 楼 0 赞一个抽抽
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 17:05 17 楼 0 回头有空我也发一个攻略，让大家见识一下什么叫坑爹，就因为一个int的问题，卡了好几天~~~ 这个其实很简单，直接dump就行，没必要费劲分析，log已经把过程说得很清楚了。
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 376 粉丝 2 关注私信	Nermor 1 2014-9-30 18:04 18 楼 0 android 加密都三分天下了， lz 这功力不错呀
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 18:27 19 楼 0 求告知怎么个dump法呢？他的dexCode和dex主体分离在了不同的内存区域。是将整个区域都dump下来么？
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 18:29 20 楼 0 没有分离啊 http://bbs.pediy.com/showthread.php?t=192865
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 18:44 21 楼 0 额...这就是分离了。你是直接将相关的整个内存区域都dump了下来，如果我有意识的将两者内存地址拉开很大的话(通过制定mmap首地址，让两者差距几十，几百MB)，那就得dump很大的内存区域了。最主要的是，我并非是以解题为目的哈，主要是为了研究它具体地加壳机制，所以花费了大量的时间精力来分析~这样直接dump内存块就是纯粹的为了破解而逆向了~能学到的东西基本为0吧。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 18:54 22 楼 0 其实关键就是那个loop而已，脱壳这种事，只要能脱下来就行，我还是坚持怎么简单怎么来的原则。也算是分离，但是估计不能拉开很大距离，因为之后要调用openDexFile来加载内存中的dex文件。当然，具体能不能我还要再翻翻源码
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 202 粉丝 29 关注私信	万抽抽 2 2014-9-30 19:00 23 楼 0 哈哈，因为我近段时间比较闲要是也像你们大牛这么忙的话，肯定走简单路线啦。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 35 回帖 583 粉丝 4 关注私信	QEver 5 2014-9-30 19:10 24 楼 0 我刚确认了一下，是可以分离的，应该是不影响dalvik的解析，因为正常运行了
wule 雪币： 270 活跃值： (234) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 91 粉丝 11 关注私信	wule 2 2014-9-30 23:19 25 楼 0 抽抽前辈简直不能nice更多。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复