[原创]阿里加固资源保护破解-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]阿里加固资源保护破解

发表于: 2016-6-8 10:54 20698

[原创]阿里加固资源保护破解

王正飞

2016-6-8 10:54

20698

昨天成功把阿里加固的dex脱壳出来（帖子在会员专区拘留，据说过几天放出来），最后一步遇到资源保护，导致没法反编译AndroidManifest.xml修改入口。

今天研究一下阿里的资源保护，懒得根据错误日志去apktool里面调试，直接把原版的resources.arsc和加固后的对比，发现加固后修改的地方很少，如下图所示

修改的地方：arsc头大小，第2~4字节；arsc文件大小，第4~8字节；另外多了8个字节，第8~16字节不知道是干嘛的，不过我们不care。

因为仔细观察发现，头大小比原来的多了8个，文件大小也比原来多了8个，那么阿里加固就是在头部填充了8个字节的数据导致了反编译arsc的时候报错。

破解方案：直接删掉那8个字节的填充，然后把头大小和文件大小减8，然后就可以反编译了

代码如下

结束语：具体加固理论我也没深入研究，有兴趣的同学可以去研究分享一下，而且我只测试了2个加固APK，大家可以去多测几个多验证一下。（这个帖子就别拘留了吧）

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

arsc.png （12.95kb，73次下载）
src.png （12.57kb，24次下载）

收藏・15

免费・0

支持

最新回复 (19)
yuzhiw 雪币： 3 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	yuzhiw 2 楼学习学习 2016-6-8 10:56 0
chinamima 雪币： 216 活跃值： (575) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 25 关注私信	chinamima 3 楼又要有意见了，又要被移动到某区了 2016-6-8 11:08 0
Tennn 雪币： 1176 活跃值： (1234) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 63 关注私信	Tennn 5 4 楼支持楼主~ 相对于安卓我对osx和ios更感兴趣楼主能发发这方面的文章就好了~ 2016-6-8 11:13 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 5 楼楼主可以进一步分析下：为什么这样修改之后，APKTOOL会反编译失败，而安卓系统能正确识别。造成这种差异的具体原因是什么，这样可能会收获更多 :) 2016-6-8 11:16 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 6 楼这是条不归路 2016-6-8 11:20 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 7 楼这种针对工具的加固方向我不看好，所以就没深入研究 2016-6-8 11:21 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 8 楼楼主有qq或交流群么去那里面拿被移动到某区的文章？ 2016-6-8 12:35 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 9 楼其实现在的APP加固都一样，容易被脱也是事实。 2016-6-8 14:27 0
Banyan 雪币： 756 活跃值： (587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	Banyan 10 楼支持楼主 2016-6-8 14:59 0
阿里安全雪币： 477 活跃值： (575) 能力值： ( LV5，RANK：70 ) 在线值：发帖 108 回帖 123 粉丝 16 关注私信	阿里安全 1 11 楼首先，感谢王正飞同学对阿里聚安全产品的关注。就目前来说，由于Android系统的特性，无论使用何种加密方式最后都需要解密并通过dalvik虚拟机来执行代码。再加上Android系统大部分代码都开源，市面上各家加固产品都能通过自己定制系统来达到脱壳的目的。加固产品容易被脱壳这个问题也成了各个安全厂商各自心照不宣的事实。顺便插一句题外话，阿里巴巴自主研发，并且多次获得国际权威安全软件评测机构AV-TEST五星好评（100%查杀率、0误报）的杀毒引擎也具有全自动脱各家壳的能力。基于上述这个事实，目前各家的加固产品主要用来防止入门级黑客破解应用、防止APK被二次打包，防止被插入广告或者恶意代码等。如果我们把应用加固比作是给APP穿上了一层厚厚的盔甲，那盔甲再厚都有可能被脱掉或者刺穿。所以，除了加固产品以外，阿里巴巴聚安全还对外输出另外一款安全产品，即安全组件。安全组件相当于是人体病毒的疫苗，它可以从应用内部本质上解决APP的安全问题。主要功能包括APP本地数据安全存储、安全加解密、安全签名通信、反调试、反HOOK等几个方面。应用加固+安全组件这个内外兼修组合在阿里系应用上已经经历了多次双11的压力考验，安全性和稳定性毋庸置疑。感兴趣的朋友可以访问我们的官网来了解我们的产品。http://jaq.alibaba.com 最后，针对目前的加固产品容易被脱壳的问题，阿里聚安全在7月中旬的2016阿里安全峰会上会正式推出应用加固的新一代产品。新版加固技术在增加脱壳难度的同时，还可以极大的增强应用业务逻辑的安全强度。届时，欢迎大家的关注和使用。 2016-6-9 11:57 0
Tennn 雪币： 1176 活跃值： (1234) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 63 关注私信	Tennn 5 12 楼这是来邀请大家脱壳玩吗 2016-6-9 14:52 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 13 楼那我们就期待吧，看看新一代的加固技术是否领跑界内 2016-6-9 15:33 0
currwin 雪币： 275 活跃值： (320) 能力值： ( LV5，RANK：60 ) 在线值：发帖 9 回帖 96 粉丝 61 关注私信	currwin 1 14 楼这可以理解为对广大逆向者的宣战了吧 2016-6-9 16:50 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 15 楼 1 2016-6-9 17:19 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 16 楼 2 2016-6-9 17:21 0
huangyalei 雪币： 24396 活跃值： (4337) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 372 粉丝 9 关注私信	huangyalei 17 楼头文件和文件大小你修改没有？ 2016-6-12 08:24 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 18 楼谢谢啊想起来了，忘记修改dex头的checknum和signature了谢谢了 2016-6-12 15:52 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 19 楼囧突然想起来了，，，囧这是该资源文件，不是dex文件啊，我修改dex头干啥，╮(╯▽╰)╭单独给arsc增加8个字节还是闪退啊，已经把大小+8啊好奇怪啊怎么办 2016-6-15 10:32 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 20 楼呵呵人家爆你们菊花了，你们应该加强技术多找找大神去修复，而不是在这里给自己做宣传懂吗！！！多花钱请大神，而不是多花钱做宣传，依赖论坛的关系什么的阻止别人发帖，，，觉得你们不给力哦，啊哈哈哈！阿里不过如此，哎，枉我以前那么喜欢你们公司，不像腾讯那样玩个游戏做虚假广告，360那样不是病毒要报毒，哎，太让我心酸了，，希望你们以后加强技术而不是黄婆卖瓜，到处做宣传！！！！知道吗我以前是多么的爱你们阿里巴巴讲信用，比如买饮料的机器，用支付宝买一瓶送一瓶，就真的送一瓶了，而微信说送一箱尼玛原来是抽奖，公司那么多同事都没有抽到，，，哎曾经我多么爱你们，有人说你们，我立马进入愤青模式，跟他pk反驳他，而现在╮(╯▽╰)╭，太让我失望了！！！！！ 2016-6-17 11:42 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王正飞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
yuzhiw 雪币： 3 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	yuzhiw 2 楼学习学习 2016-6-8 10:56 0
chinamima 雪币： 216 活跃值： (575) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 25 关注私信	chinamima 3 楼又要有意见了，又要被移动到某区了 2016-6-8 11:08 0
Tennn 雪币： 1176 活跃值： (1234) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 63 关注私信	Tennn 5 4 楼支持楼主~ 相对于安卓我对osx和ios更感兴趣楼主能发发这方面的文章就好了~ 2016-6-8 11:13 0
OnlyEnd 雪币： 250 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 153 粉丝 0 关注私信	OnlyEnd 5 楼楼主可以进一步分析下：为什么这样修改之后，APKTOOL会反编译失败，而安卓系统能正确识别。造成这种差异的具体原因是什么，这样可能会收获更多 :) 2016-6-8 11:16 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 6 楼这是条不归路 2016-6-8 11:20 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 7 楼这种针对工具的加固方向我不看好，所以就没深入研究 2016-6-8 11:21 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 8 楼楼主有qq或交流群么去那里面拿被移动到某区的文章？ 2016-6-8 12:35 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 9 楼其实现在的APP加固都一样，容易被脱也是事实。 2016-6-8 14:27 0
Banyan 雪币： 756 活跃值： (587) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	Banyan 10 楼支持楼主 2016-6-8 14:59 0
阿里安全雪币： 477 活跃值： (575) 能力值： ( LV5，RANK：70 ) 在线值：发帖 108 回帖 123 粉丝 16 关注私信	阿里安全 1 11 楼首先，感谢王正飞同学对阿里聚安全产品的关注。就目前来说，由于Android系统的特性，无论使用何种加密方式最后都需要解密并通过dalvik虚拟机来执行代码。再加上Android系统大部分代码都开源，市面上各家加固产品都能通过自己定制系统来达到脱壳的目的。加固产品容易被脱壳这个问题也成了各个安全厂商各自心照不宣的事实。顺便插一句题外话，阿里巴巴自主研发，并且多次获得国际权威安全软件评测机构AV-TEST五星好评（100%查杀率、0误报）的杀毒引擎也具有全自动脱各家壳的能力。基于上述这个事实，目前各家的加固产品主要用来防止入门级黑客破解应用、防止APK被二次打包，防止被插入广告或者恶意代码等。如果我们把应用加固比作是给APP穿上了一层厚厚的盔甲，那盔甲再厚都有可能被脱掉或者刺穿。所以，除了加固产品以外，阿里巴巴聚安全还对外输出另外一款安全产品，即安全组件。安全组件相当于是人体病毒的疫苗，它可以从应用内部本质上解决APP的安全问题。主要功能包括APP本地数据安全存储、安全加解密、安全签名通信、反调试、反HOOK等几个方面。应用加固+安全组件这个内外兼修组合在阿里系应用上已经经历了多次双11的压力考验，安全性和稳定性毋庸置疑。感兴趣的朋友可以访问我们的官网来了解我们的产品。http://jaq.alibaba.com 最后，针对目前的加固产品容易被脱壳的问题，阿里聚安全在7月中旬的2016阿里安全峰会上会正式推出应用加固的新一代产品。新版加固技术在增加脱壳难度的同时，还可以极大的增强应用业务逻辑的安全强度。届时，欢迎大家的关注和使用。 2016-6-9 11:57 0
Tennn 雪币： 1176 活跃值： (1234) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 63 关注私信	Tennn 5 12 楼这是来邀请大家脱壳玩吗 2016-6-9 14:52 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 13 楼那我们就期待吧，看看新一代的加固技术是否领跑界内 2016-6-9 15:33 0
currwin 雪币： 275 活跃值： (320) 能力值： ( LV5，RANK：60 ) 在线值：发帖 9 回帖 96 粉丝 61 关注私信	currwin 1 14 楼这可以理解为对广大逆向者的宣战了吧 2016-6-9 16:50 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 15 楼 1 2016-6-9 17:19 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 16 楼 2 2016-6-9 17:21 0
huangyalei 雪币： 24396 活跃值： (4337) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 372 粉丝 9 关注私信	huangyalei 17 楼头文件和文件大小你修改没有？ 2016-6-12 08:24 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 18 楼谢谢啊想起来了，忘记修改dex头的checknum和signature了谢谢了 2016-6-12 15:52 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 19 楼囧突然想起来了，，，囧这是该资源文件，不是dex文件啊，我修改dex头干啥，╮(╯▽╰)╭单独给arsc增加8个字节还是闪退啊，已经把大小+8啊好奇怪啊怎么办 2016-6-15 10:32 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 20 楼呵呵人家爆你们菊花了，你们应该加强技术多找找大神去修复，而不是在这里给自己做宣传懂吗！！！多花钱请大神，而不是多花钱做宣传，依赖论坛的关系什么的阻止别人发帖，，，觉得你们不给力哦，啊哈哈哈！阿里不过如此，哎，枉我以前那么喜欢你们公司，不像腾讯那样玩个游戏做虚假广告，360那样不是病毒要报毒，哎，太让我心酸了，，希望你们以后加强技术而不是黄婆卖瓜，到处做宣传！！！！知道吗我以前是多么的爱你们阿里巴巴讲信用，比如买饮料的机器，用支付宝买一瓶送一瓶，就真的送一瓶了，而微信说送一箱尼玛原来是抽奖，公司那么多同事都没有抽到，，，哎曾经我多么爱你们，有人说你们，我立马进入愤青模式，跟他pk反驳他，而现在╮(╯▽╰)╭，太让我失望了！！！！！ 2016-6-17 11:42 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复