[原创]腾讯加固脱壳-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]腾讯加固脱壳

发表于: 2016-5-26 17:35 41502

[原创]腾讯加固脱壳

王正飞

2016-5-26 17:35

41502

应论坛上一些同学的要求，做一个腾讯脱壳的dex2oat。
    脱壳环境：android4.4.4  art arm
    脱壳原理：见360脱壳原理。
    代码修改：见图

这里根据oat文件的输出的名称来检索关键字，关键字改为libshellc，tx_oat_filename定义为一个全局变量，在前面赋值

脱壳结果：脱壳出来的dex会在APP的tx_shell目录下

结束语：脱壳过程可能没日志出现，我操作的时候日志有的时候没有，不知道是log函数被hook了还是我的log出现了问题，不过能脱就没管那么多了，先放上来。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

QQ截图20160526172304.png （39.28kb，289次下载）
QQ截图20160526172358.png （25.80kb，135次下载）
QQ截图20160526172542.png （2.21kb，91次下载）
dex2oat.zip （33.18kb，1466次下载）

收藏・34

免费・3

支持

最新回复 (20)
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 2 楼 1 2016-5-27 19:06 0
oldleesong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	oldleesong 3 楼先把系统切换成oat模式然后替换掉\system\bin\dex2oat 安装app 启动就行吗？我在模拟器试了老不行。。下了只有4.4.2 也没找到4.4.4 不知道是不是版本问题。。楼主可以编译一份4.4.2的么 360和tx的 2016-5-27 22:33 0
xiewukai 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	xiewukai 4 楼支持楼主 2016-5-27 23:12 0
qqsunqiang 雪币： 440 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 244 粉丝 0 关注私信	qqsunqiang 5 楼支持楼主的分享。 2016-5-28 08:17 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 6 楼顶楼主，偶像啊 2016-5-28 15:50 0
Banyan 雪币： 756 活跃值： (587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	Banyan 7 楼测试了2个腾讯的壳没成功，不知道什么原因。 2016-5-28 21:40 0
wapjia 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	wapjia 8 楼要启动art模式 2016-5-29 10:26 0
Mr先锋雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	Mr先锋 9 楼楼主太高调了 2016-5-29 10:30 0
yaojunhap 雪币： 67 活跃值： (53) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	yaojunhap 10 楼楼主思路挺灵活，不知道是怎么发现腾讯和360的这个问题的。不过这明显是个漏洞，估计很快会被补上。我还是认为在dalvik里重组靠谱。最难脱的壳应该是HOOK了Dalvik的解释器的壳，所谓第三代壳。有样本的欢迎分享。说老师话DEX这玩意没啥搞头了，加固的战场转向了.so。 2016-5-30 17:30 0
baichisi 雪币： 33 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	baichisi 11 楼建议楼主把tx加固过的全给dump一下以后有助于分析 2016-5-30 17:39 0
pwnerZ 雪币： 46 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	pwnerZ 12 楼大神求脱 http://bbs.pediy.com/showthread.php?t=210672 2016-5-31 14:52 0
chmlqw 雪币： 54 活跃值： (690) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 79 粉丝 1 关注私信	chmlqw 13 楼我在android 5.0上编译了一个dex2oat，安装，启动之后发现 /data/data/xxx/tx_shell/ 目录下为空，没有其他文件没有替换dex2oat，同样操作，tx_shell下也为空呢 ... 难道是新版本换位置了。 2016-6-2 09:30 0
bbxt 雪币： 3 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 1 关注私信	bbxt 14 楼 “HOOK了Dalvik的解释器的壳？”大神可否解释一下第三代壳的原理呀？ 2016-6-2 15:26 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 16 楼跑不出广州了 2016-6-2 16:55 0
xuyahui 雪币： 20 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 119 粉丝 0 关注私信	xuyahui 17 楼怎么根据Dump出来的dex重新打包生成APK呢？ 2016-6-7 11:29 0
fsqddfg 雪币： 238 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	fsqddfg 18 楼这些360和腾讯的都没有用了。这些都修复了。 2016-6-10 16:33 0
spritelime 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	spritelime 19 楼过时的加壳技术，同样技术含量低下的脱壳技术，还有这么多人在崇拜。 2016-6-12 13:16 0
grok 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	grok 20 楼学习了！很给力！ 2016-10-9 17:42 0
lovexy看雪雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	lovexy看雪 21 楼厉害我的哥 2016-10-11 12:04 0
hokoory 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	hokoory 22 楼先看一看，不知道我的那个壳有没有变种 2016-10-14 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王正飞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 2 楼 1 2016-5-27 19:06 0
oldleesong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	oldleesong 3 楼先把系统切换成oat模式然后替换掉\system\bin\dex2oat 安装app 启动就行吗？我在模拟器试了老不行。。下了只有4.4.2 也没找到4.4.4 不知道是不是版本问题。。楼主可以编译一份4.4.2的么 360和tx的 2016-5-27 22:33 0
xiewukai 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	xiewukai 4 楼支持楼主 2016-5-27 23:12 0
qqsunqiang 雪币： 440 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 244 粉丝 0 关注私信	qqsunqiang 5 楼支持楼主的分享。 2016-5-28 08:17 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 6 楼顶楼主，偶像啊 2016-5-28 15:50 0
Banyan 雪币： 756 活跃值： (587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	Banyan 7 楼测试了2个腾讯的壳没成功，不知道什么原因。 2016-5-28 21:40 0
wapjia 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	wapjia 8 楼要启动art模式 2016-5-29 10:26 0
Mr先锋雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	Mr先锋 9 楼楼主太高调了 2016-5-29 10:30 0
yaojunhap 雪币： 67 活跃值： (53) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	yaojunhap 10 楼楼主思路挺灵活，不知道是怎么发现腾讯和360的这个问题的。不过这明显是个漏洞，估计很快会被补上。我还是认为在dalvik里重组靠谱。最难脱的壳应该是HOOK了Dalvik的解释器的壳，所谓第三代壳。有样本的欢迎分享。说老师话DEX这玩意没啥搞头了，加固的战场转向了.so。 2016-5-30 17:30 0
baichisi 雪币： 33 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	baichisi 11 楼建议楼主把tx加固过的全给dump一下以后有助于分析 2016-5-30 17:39 0
pwnerZ 雪币： 46 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	pwnerZ 12 楼大神求脱 http://bbs.pediy.com/showthread.php?t=210672 2016-5-31 14:52 0
chmlqw 雪币： 54 活跃值： (690) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 79 粉丝 1 关注私信	chmlqw 13 楼我在android 5.0上编译了一个dex2oat，安装，启动之后发现 /data/data/xxx/tx_shell/ 目录下为空，没有其他文件没有替换dex2oat，同样操作，tx_shell下也为空呢 ... 难道是新版本换位置了。 2016-6-2 09:30 0
bbxt 雪币： 3 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 1 关注私信	bbxt 14 楼 “HOOK了Dalvik的解释器的壳？”大神可否解释一下第三代壳的原理呀？ 2016-6-2 15:26 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 16 楼跑不出广州了 2016-6-2 16:55 0
xuyahui 雪币： 20 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 119 粉丝 0 关注私信	xuyahui 17 楼怎么根据Dump出来的dex重新打包生成APK呢？ 2016-6-7 11:29 0
fsqddfg 雪币： 238 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	fsqddfg 18 楼这些360和腾讯的都没有用了。这些都修复了。 2016-6-10 16:33 0
spritelime 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	spritelime 19 楼过时的加壳技术，同样技术含量低下的脱壳技术，还有这么多人在崇拜。 2016-6-12 13:16 0
grok 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	grok 20 楼学习了！很给力！ 2016-10-9 17:42 0
lovexy看雪雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	lovexy看雪 21 楼厉害我的哥 2016-10-11 12:04 0
hokoory 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	hokoory 22 楼先看一看，不知道我的那个壳有没有变种 2016-10-14 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复