[原创]**应用加固的脱壳分析和修复-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]**应用加固的脱壳分析和修复

发表于: 2015-2-12 17:29 56944

[原创]**应用加固的脱壳分析和修复

zzage

2015-2-12 17:29

56944

查看主题内容

收藏・86

免费・3

支持

最新回复 (53) ◀ 1 2 3 ▶
flyworm 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	flyworm 26 楼楼主的ida是哪个版本啊，这么高端，F5出来的代码跟源码一样，我的F5出来的还是dword_4E290 = sub_75C0(v4);看的累啊。 2015-2-13 12:01 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 27 楼看不懂，mark一下以后看，感谢分享 2015-2-13 16:53 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 28 楼这样的文章才能算是精华！ 2015-2-13 22:02 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 29 楼赞分析的很nice啊 2015-2-14 00:42 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 30 楼标记一下，开始学习了 2015-2-14 15:13 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 31 楼感谢分享。 2015-2-26 14:32 0
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 32 楼干得漂亮 2015-2-28 10:19 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 33 楼前来膜拜，顶顶顶！ 2015-3-1 15:59 0
CRoot 雪币： 3366 活跃值： (1353) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 34 楼楼主用您的修复版的还是报错出来异常。。。奇怪了 2015-3-1 19:10 0
飞火雪币： 238 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	飞火 1 35 楼好文！ nice job！ 2015-3-2 16:11 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 36 楼楼主的分析不错，基本了解大致的过程了 2015-3-7 11:56 0
非洲大表哥雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	非洲大表哥 37 楼你好，看到你修改过的apktool的里面解析AXML用了这样的代码： if (DeAndroidManifest == 1) { if ((resourceID < 16842752) \|\| (resourceID > 16843622)) { LOGGER.info(String.format("Repair ResourceID Bad ID:[%d]", new Object[] { Integer.valueOf(resourceID) })); resourceID = 16842755; } } 请问 1.DeAndroidManifest 这个变量什么时候赋值为1？只看到一开始有初始化为0，没看到有相关的赋值语句啊。 2.((resourceID < 16842752) \|\| (resourceID > 16843622))以及16842755这三个id是怎么得来的呢？望能指点！ 2015-3-22 20:40 0
jbwang 雪币： 45 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 65 粉丝 0 关注私信	jbwang 1 38 楼分析报告写的很有条理，赞一个 2015-3-22 23:50 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 39 楼 1.DeAndroidManifest 这个标志是在开始准备解析AndroidManifest的赋值，作为当前要解析AndroidManifest.xml的标志。 2.resourceID < 16842752 和 resourceID > 16843622 是正常的attr ID是从0x1010000到0x1010366结束。这个你可以看就知道https://android.googlesource.com/platform/frameworks/base/+/c8834722d5591d1381dc199f04a544a6b11b74bd/core/res/res/values/public.xml 最后16842755(0x1010003)这个，其实是我随意弄一个正常的arrt ID,让apktool能够正常解析反编译成功。 2015-3-23 10:49 0
padsy 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	padsy 40 楼碉堡了，收藏 2015-5-19 16:45 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 41 楼学习下。。。看不懂 2015-5-23 18:19 0
Kidstart 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Kidstart 42 楼楼主,用你的工具还是出错: I: Using Apktool v2.0.0 RC3 Fix-ZzAge on probe-tencent.apk I: Loading resource table... Exception in thread "main" brut.androlib.AndrolibException: Multiple res specs: attr/fasten at brut.androlib.res.data.ResType.addResSpec(ResType.java:58) at brut.androlib.res.decoder.ARSCDecoder.readEntry(ARSCDecoder.java:213) at brut.androlib.res.decoder.ARSCDecoder.readConfig(ARSCDecoder.java:188) at brut.androlib.res.decoder.ARSCDecoder.readType(ARSCDecoder.java:156) at brut.androlib.res.decoder.ARSCDecoder.readPackage(ARSCDecoder.java:113) at brut.androlib.res.decoder.ARSCDecoder.readTable(ARSCDecoder.java:78) at brut.androlib.res.decoder.ARSCDecoder.decode(ARSCDecoder.java:47) at brut.androlib.res.AndrolibResources.getResPackagesFromApk(AndrolibResources.java:626) at brut.androlib.res.AndrolibResources.loadMainPkg(AndrolibResources.java:74) at brut.androlib.res.AndrolibResources.getResTable(AndrolibResources.java:66) at brut.androlib.Androlib.getResTable(Androlib.java:63) at brut.androlib.ApkDecoder.setTargetSdkVersion(ApkDecoder.java:209) at brut.androlib.ApkDecoder.decode(ApkDecoder.java:92) at brut.apktool.Main.cmdDecode(Main.java:165) at brut.apktool.Main.main(Main.java:81) 2015-5-28 18:11 0
kenlf 雪币： 64 活跃值： (134) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	kenlf 43 楼受教了，谢谢 2015-9-10 15:13 0
川zi 雪币： 28 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	川zi 44 楼向楼主学习 2015-9-13 08:55 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 45 楼好文，学习了！ 2015-9-13 08:59 0
ylmylm杨雪币： 57 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	ylmylm杨 47 楼请问一下，这样修改，原来加壳的方法codeoff是0，现在重定向偏移，字节会变多，不是会覆盖下一个数据吗？ 2015-12-14 18:53 0
kllei 雪币： 206 活跃值： (840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 48 楼 00 -> 80 00 80 80 00 2015-12-14 19:21 0
Sevsea 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	Sevsea 49 楼 nice,但是后面就看的好迷 2015-12-18 16:34 0
Sevsea 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	Sevsea 50 楼楼主，请教一下是怎么看出来的TX加固会把所有被加固过的Method的原始数据存一份在文件尾部的么？func_ShellFixDexMethod函数中？还是locat中？ 2015-12-22 14:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zzage

发帖

103

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
flyworm 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	flyworm 26 楼楼主的ida是哪个版本啊，这么高端，F5出来的代码跟源码一样，我的F5出来的还是dword_4E290 = sub_75C0(v4);看的累啊。 2015-2-13 12:01 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 27 楼看不懂，mark一下以后看，感谢分享 2015-2-13 16:53 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 28 楼这样的文章才能算是精华！ 2015-2-13 22:02 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 29 楼赞分析的很nice啊 2015-2-14 00:42 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 30 楼标记一下，开始学习了 2015-2-14 15:13 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 31 楼感谢分享。 2015-2-26 14:32 0
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 32 楼干得漂亮 2015-2-28 10:19 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 33 楼前来膜拜，顶顶顶！ 2015-3-1 15:59 0
CRoot 雪币： 3366 活跃值： (1353) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 34 楼楼主用您的修复版的还是报错出来异常。。。奇怪了 2015-3-1 19:10 0
飞火雪币： 238 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	飞火 1 35 楼好文！ nice job！ 2015-3-2 16:11 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 36 楼楼主的分析不错，基本了解大致的过程了 2015-3-7 11:56 0
非洲大表哥雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	非洲大表哥 37 楼你好，看到你修改过的apktool的里面解析AXML用了这样的代码： if (DeAndroidManifest == 1) { if ((resourceID < 16842752) \|\| (resourceID > 16843622)) { LOGGER.info(String.format("Repair ResourceID Bad ID:[%d]", new Object[] { Integer.valueOf(resourceID) })); resourceID = 16842755; } } 请问 1.DeAndroidManifest 这个变量什么时候赋值为1？只看到一开始有初始化为0，没看到有相关的赋值语句啊。 2.((resourceID < 16842752) \|\| (resourceID > 16843622))以及16842755这三个id是怎么得来的呢？望能指点！ 2015-3-22 20:40 0
jbwang 雪币： 45 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 65 粉丝 0 关注私信	jbwang 1 38 楼分析报告写的很有条理，赞一个 2015-3-22 23:50 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 39 楼 1.DeAndroidManifest 这个标志是在开始准备解析AndroidManifest的赋值，作为当前要解析AndroidManifest.xml的标志。 2.resourceID < 16842752 和 resourceID > 16843622 是正常的attr ID是从0x1010000到0x1010366结束。这个你可以看就知道https://android.googlesource.com/platform/frameworks/base/+/c8834722d5591d1381dc199f04a544a6b11b74bd/core/res/res/values/public.xml 最后16842755(0x1010003)这个，其实是我随意弄一个正常的arrt ID,让apktool能够正常解析反编译成功。 2015-3-23 10:49 0
padsy 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	padsy 40 楼碉堡了，收藏 2015-5-19 16:45 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 41 楼学习下。。。看不懂 2015-5-23 18:19 0
Kidstart 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Kidstart 42 楼楼主,用你的工具还是出错: I: Using Apktool v2.0.0 RC3 Fix-ZzAge on probe-tencent.apk I: Loading resource table... Exception in thread "main" brut.androlib.AndrolibException: Multiple res specs: attr/fasten at brut.androlib.res.data.ResType.addResSpec(ResType.java:58) at brut.androlib.res.decoder.ARSCDecoder.readEntry(ARSCDecoder.java:213) at brut.androlib.res.decoder.ARSCDecoder.readConfig(ARSCDecoder.java:188) at brut.androlib.res.decoder.ARSCDecoder.readType(ARSCDecoder.java:156) at brut.androlib.res.decoder.ARSCDecoder.readPackage(ARSCDecoder.java:113) at brut.androlib.res.decoder.ARSCDecoder.readTable(ARSCDecoder.java:78) at brut.androlib.res.decoder.ARSCDecoder.decode(ARSCDecoder.java:47) at brut.androlib.res.AndrolibResources.getResPackagesFromApk(AndrolibResources.java:626) at brut.androlib.res.AndrolibResources.loadMainPkg(AndrolibResources.java:74) at brut.androlib.res.AndrolibResources.getResTable(AndrolibResources.java:66) at brut.androlib.Androlib.getResTable(Androlib.java:63) at brut.androlib.ApkDecoder.setTargetSdkVersion(ApkDecoder.java:209) at brut.androlib.ApkDecoder.decode(ApkDecoder.java:92) at brut.apktool.Main.cmdDecode(Main.java:165) at brut.apktool.Main.main(Main.java:81) 2015-5-28 18:11 0
kenlf 雪币： 64 活跃值： (134) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	kenlf 43 楼受教了，谢谢 2015-9-10 15:13 0
川zi 雪币： 28 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	川zi 44 楼向楼主学习 2015-9-13 08:55 0
GeekCheng 雪币： 22 活跃值： (242) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 154 粉丝 13 关注私信	GeekCheng 2 45 楼好文，学习了！ 2015-9-13 08:59 0
ylmylm杨雪币： 57 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	ylmylm杨 47 楼请问一下，这样修改，原来加壳的方法codeoff是0，现在重定向偏移，字节会变多，不是会覆盖下一个数据吗？ 2015-12-14 18:53 0
kllei 雪币： 206 活跃值： (840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 48 楼 00 -> 80 00 80 80 00 2015-12-14 19:21 0
Sevsea 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	Sevsea 49 楼 nice,但是后面就看的好迷 2015-12-18 16:34 0
Sevsea 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	Sevsea 50 楼楼主，请教一下是怎么看出来的TX加固会把所有被加固过的Method的原始数据存一份在文件尾部的么？func_ShellFixDexMethod函数中？还是locat中？ 2015-12-22 14:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复