[原创]阿里加固dex脱壳-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]阿里加固dex脱壳

发表于: 2016-6-7 15:54 38121

[原创]阿里加固dex脱壳

王正飞

2016-6-7 15:54

38121

这次研究一下阿里加固，提交一个APK，加固好之后下载，大致看一下加固样式都差不多，这是外壳：

加固后的dex在lib里面的libmobisecy1.so中，效果如下：

看了一下字节码发现所有方法的字节码都被这28字节替换了，真正的指令被隐藏了

不管怎么样，先从内存中dump出这个dex来看看，dump出来发现这个dex是坏的，dex2jar也看不了，反编译也没用，对比加载前的dex发现区别不大，看上去没有在内存中还原的样子。

破解思路：无论dex怎么隐藏，该运行哪个方法还得运行，于是修改源码，找到方法运行的真正地址，如下图所示

打印了几个方法的codeoff，发现有个奇怪的地方，codeoff的值明显超出了dex的大小。那么我猜测他们肯定多new了一部分内存，把真正的指令往后面放了，加载的时候把dex所有方法的codeoff重写一遍，指向了新的地址。

既然这样那我就多dump一部分数据出来，直接从dex头开始dump，dump长度是dex的两倍。

脱壳操作：这样内存中的dex以及后面的尾巴都dump出来了，可能还多了一部分无效的数据，不过没关系，先拿下来看看

把拿到的dex反编译一下看看，不出意外的报错了

不过可喜的是，绝大部分方法的smali已经反编译出来了，既然这样把报错类的smali都删掉，然后回编译试试。可能回编译也会有类报错，不过同样地都删除，最后回编译成功，dex2jar发现方法都暴露了。

最后再测试这个dex是否可以运行，在这里还有资源文件保护，因此修改AndroidManifest.xml的入口还需要进一步破解操作，不过没关系，我们作弊一下，APK是我提交的，把原始的xml拿过来借用一下，就当绕过资源保护了。

最后重新打包一个新的APK，运行成功，dex脱壳完成。

结束语：阿里加固的核心思想还是内存中还原dex，不过还原的是方法的codeoff，codeoff指向了dex范围之外的一片内存。最后资源保护这一块还需要花点时间研究。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

QQ截图20160607141014.png （45.17kb，662次下载）
QQ截图20160607141710.png （24.05kb，96次下载）
QQ截图20160607141908.png （13.43kb，30次下载）
QQ截图20160607150400.png （14.60kb，72次下载）
QQ截图20160607150617.png （12.57kb，45次下载）
QQ截图20160607151127.png （3.60kb，32次下载）

收藏・40

免费・3

支持

最新回复 (48) 1 2 ▶
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 2 楼 2 2016-6-7 15:59 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼不懂安卓仔细看了下和windows平台脱壳原理差不多支持楼主~ 2016-6-7 16:07 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 4 楼 dump长度是dex的两倍前面的思路都正确，但为什么会毫无理由的选择"两倍"?目测反编译出错就是因为这个"2"~ 对照maps文件看看codeoff吧 2016-6-7 16:55 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 13 关注私信	Ericky 6 5 楼 haha ...我也觉得这个2不好，把“800MB” dump出来也就几分钟吧～ 2016-6-7 17:31 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 6 楼呵呵，阿里加固把dex的所有方法的指令全部隐藏，但是我们不知道具体的长度，那么最长也不可能超过原dex的长度，因此2倍dex足够把有用的信息弄下来了，置于你要嘚瑟dump多一点无所谓，但是少了就导致方法不全 2016-6-7 17:35 0
chinamima 雪币： 216 活跃值： (585) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 25 关注私信	chinamima 8 楼有多少人看懂了？ 2016-6-7 18:02 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼阿里有意见了，我转到会员区交流。 2016-6-7 18:07 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 10 楼其实这个原理，以前论坛上有人发布一个帖子，写的很详细。。基本原理就是将每个方法的实现代码弄到new出来的内存中。。将原始的dex 分成两个文件，一个是结构基础，另外一个是方法实现字节码 2016-6-7 18:16 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 12 楼这么小气？别人看不到我的帖子了吗 2016-6-7 18:27 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼普通会员以上都可以看到。临时移过来，过几天移出去，阿里希望给他们几天升级一下。 2016-6-7 20:17 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 14 楼哈哈 ~ 2016-6-7 22:34 0
我是土匪雪币： 546 活跃值： (1662) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 15 楼下次可以让楼主先发文章到国外论坛上面去，然后在通过看雪转载过来，只有这样才能使那些动不动就送律师函的企业干瞪眼。 2016-6-7 23:12 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 16 楼唉~好心提醒一下。这么简单的东西，竟然还被当成嘚瑟了，你这嘚瑟的标准也太低了吧。同样的东西，我在前年就已经发帖说得很清楚了。就你这段话看来，根本没搞清楚阿里是什么做的。再仔细看看吧 2016-6-8 11:20 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 17 楼目标只是脱壳而已，只要能脱壳，就没动力深入研究他们的团队是怎么想的了，大家都比较忙，我也有自己的东西要研究。阿里大神那么多，我也没有班门弄斧的想法，同行做个技术交流总可以吧。 2016-6-8 11:28 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 18 楼把报错类的smali都删掉嗯，很成功的脱壳。厉害~ 2016-6-8 12:49 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 19 楼删掉错误类之后又不影响运行，也不影响重打包，这些类为什么会报错本身也是由于在内存中没还原，或者可能是没还原的必要。 2016-6-8 13:54 0
诗函雪币： 214 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	诗函 20 楼谢谢,又学到一个思路. 会员区在哪?没去过 2016-6-9 18:59 0
转自重中之重雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	转自重中之重 21 楼学习了. 2016-6-11 12:20 0
sherrydl 雪币： 98 活跃值： (364) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 82 粉丝 15 关注私信	sherrydl 1 22 楼大神，你是不是发太多了。666~~~~ 2016-6-11 22:55 0
zyqqyz 雪币： 693 活跃值： (108) 能力值： ( LV5，RANK：60 ) 在线值：发帖 21 回帖 168 粉丝 11 关注私信	zyqqyz 1 23 楼一年了，阿里的加固技术还是没有怎么更新。。。。。。 2016-6-12 10:18 0
AqCxBoM 雪币： 63 活跃值： (324) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	AqCxBoM 24 楼阿里有意见了----我笑了 2016-6-12 10:31 0
spritelime 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	spritelime 25 楼啥年代了还在这儿玩脱壳，阿里这些大公司早就开始搞vmp了好不。QEver是移动安全挑战赛的第3名，脱壳这一套早就玩烂了，你好歹对人家有点尊敬吧。 2016-6-12 13:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王正飞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 2 楼 2 2016-6-7 15:59 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼不懂安卓仔细看了下和windows平台脱壳原理差不多支持楼主~ 2016-6-7 16:07 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 4 楼 dump长度是dex的两倍前面的思路都正确，但为什么会毫无理由的选择"两倍"?目测反编译出错就是因为这个"2"~ 对照maps文件看看codeoff吧 2016-6-7 16:55 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 13 关注私信	Ericky 6 5 楼 haha ...我也觉得这个2不好，把“800MB” dump出来也就几分钟吧～ 2016-6-7 17:31 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 6 楼呵呵，阿里加固把dex的所有方法的指令全部隐藏，但是我们不知道具体的长度，那么最长也不可能超过原dex的长度，因此2倍dex足够把有用的信息弄下来了，置于你要嘚瑟dump多一点无所谓，但是少了就导致方法不全 2016-6-7 17:35 0
chinamima 雪币： 216 活跃值： (585) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 25 关注私信	chinamima 8 楼有多少人看懂了？ 2016-6-7 18:02 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼阿里有意见了，我转到会员区交流。 2016-6-7 18:07 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 10 楼其实这个原理，以前论坛上有人发布一个帖子，写的很详细。。基本原理就是将每个方法的实现代码弄到new出来的内存中。。将原始的dex 分成两个文件，一个是结构基础，另外一个是方法实现字节码 2016-6-7 18:16 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 12 楼这么小气？别人看不到我的帖子了吗 2016-6-7 18:27 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼普通会员以上都可以看到。临时移过来，过几天移出去，阿里希望给他们几天升级一下。 2016-6-7 20:17 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 14 楼哈哈 ~ 2016-6-7 22:34 0
我是土匪雪币： 546 活跃值： (1662) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 15 楼下次可以让楼主先发文章到国外论坛上面去，然后在通过看雪转载过来，只有这样才能使那些动不动就送律师函的企业干瞪眼。 2016-6-7 23:12 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 16 楼唉~好心提醒一下。这么简单的东西，竟然还被当成嘚瑟了，你这嘚瑟的标准也太低了吧。同样的东西，我在前年就已经发帖说得很清楚了。就你这段话看来，根本没搞清楚阿里是什么做的。再仔细看看吧 2016-6-8 11:20 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 17 楼目标只是脱壳而已，只要能脱壳，就没动力深入研究他们的团队是怎么想的了，大家都比较忙，我也有自己的东西要研究。阿里大神那么多，我也没有班门弄斧的想法，同行做个技术交流总可以吧。 2016-6-8 11:28 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 18 楼把报错类的smali都删掉嗯，很成功的脱壳。厉害~ 2016-6-8 12:49 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 33 关注私信	王正飞 19 楼删掉错误类之后又不影响运行，也不影响重打包，这些类为什么会报错本身也是由于在内存中没还原，或者可能是没还原的必要。 2016-6-8 13:54 0
诗函雪币： 214 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	诗函 20 楼谢谢,又学到一个思路. 会员区在哪?没去过 2016-6-9 18:59 0
转自重中之重雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	转自重中之重 21 楼学习了. 2016-6-11 12:20 0
sherrydl 雪币： 98 活跃值： (364) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 82 粉丝 15 关注私信	sherrydl 1 22 楼大神，你是不是发太多了。666~~~~ 2016-6-11 22:55 0
zyqqyz 雪币： 693 活跃值： (108) 能力值： ( LV5，RANK：60 ) 在线值：发帖 21 回帖 168 粉丝 11 关注私信	zyqqyz 1 23 楼一年了，阿里的加固技术还是没有怎么更新。。。。。。 2016-6-12 10:18 0
AqCxBoM 雪币： 63 活跃值： (324) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	AqCxBoM 24 楼阿里有意见了----我笑了 2016-6-12 10:31 0
spritelime 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	spritelime 25 楼啥年代了还在这儿玩脱壳，阿里这些大公司早就开始搞vmp了好不。QEver是移动安全挑战赛的第3名，脱壳这一套早就玩烂了，你好歹对人家有点尊敬吧。 2016-6-12 13:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复