[分享]自己写的简单脱壳工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]自己写的简单脱壳工具

发表于: 2016-10-19 18:25 23038

[分享]自己写的简单脱壳工具

luciferkx

2016-10-19 18:25

23038

这大半年在测试移动客户端时遇到了不少壳，研究之余写了几个小工具（各有适用场景），都已经发到github上了，在此分享下。这几个工具都是内存搜索然后dump，虽然出来的dex不一定都能重打包，但是从分析java代码的角度来说基本够用了，请大牛们轻喷。

drizzleDumper 最开始是照着android-unpacker写的，后面两个都是调用改版的drizzleDumper实现的Dump，然后做了一些其他处理，基本满足反编译出大部分java代码，欢迎大家一起研究测试，don't be evil

工具地址：
drizzleDumper https://github.com/DrizzleRisk/drizzleDumper
TUnpacker https://github.com/DrizzleRisk/TUnpacker
BUnpacker https://github.com/DrizzleRisk/BUnpacker

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・37

免费・3

支持

最新回复 (45) 1 2 ▶
wangzehua 雪币： 94 活跃值： (2197) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 83 粉丝 3 关注私信	wangzehua 2 楼先mark再看，多谢分享！ 2016-10-19 18:46 0
bengou 雪币： 1039 活跃值： (355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	bengou 3 楼谢谢分享 2016-10-20 07:51 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 4 楼先mark再看，多谢分享！ 2016-10-20 08:20 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 5 楼先mark再看，多谢分享！ 2016-10-20 08:59 0
sunjor 雪币： 60 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 0 关注私信	sunjor 6 楼楼主后面两个起的别有用心啊 2016-10-20 09:03 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 7 楼没有啊，随便起的 2016-10-20 09:43 0
企鹅的py交易雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	企鹅的py交易 8 楼吃瓜群众前来学习 2016-10-20 09:59 0
ele7enxxh 雪币： 18 活跃值： (561) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 87 粉丝 7 关注私信	ele7enxxh 1 9 楼既然没开源,最好就不要放github 2016-10-20 10:11 0
gugubupt 雪币： 93 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 77 粉丝 0 关注私信	gugubupt 10 楼 mark 2016-10-20 11:30 0
目不转睛雪币： 77 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	目不转睛 11 楼后两个是要配置Python环境吧 2016-10-20 13:55 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 12 楼都是开源的呀，唯一没有公布源码的部分只有后面两个py里调用的NDK程序，但这NDK程序也是第一个drizzleDumper代码改进而来的，主要改的是内存定位和特征，区别不大。 2016-10-20 14:11 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 13 楼嗯是，需要python和java环境，并且因为是动态脱壳，所以需要连接设备或虚拟机。 2016-10-20 14:12 0
toToC 雪币： 62 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 1 关注私信	toToC 14 楼支持dalao 2016-10-20 14:30 0
目不转睛雪币： 77 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	目不转睛 15 楼后两个可以用第一个那种方法来脱吗？ 2016-10-20 15:13 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 16 楼原理上可以，但得根据情况修改第一个的代码 2016-10-20 15:44 0
永哥呀雪币： 44 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	永哥呀 17 楼 B和T两家脱出来的都是需要修复的，你这个有没有做修复？只是内存dump么？ 2016-10-21 14:48 0
liujg 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	liujg 18 楼 python 用什么版本？总是在获得ＡＰＫ信息时ＸＭＬ有问题 [*] Get package info Traceback (most recent call last): File "C:\BUnpacker-master\bunpacker.py", line 83, in <module> CheckEnv() File "C:\BUnpacker-master\bunpacker.py", line 44, in CheckEnv mfest = minidom.parseString(content) File "C:\Python27\lib\xml\dom\minidom.py", line 1928, in parseString return expatbuilder.parseString(string) File "C:\Python27\lib\xml\dom\expatbuilder.py", line 940, in parseString return builder.parseString(string) File "C:\Python27\lib\xml\dom\expatbuilder.py", line 223, in parseString parser.Parse(string, True) xml.parsers.expat.ExpatError: no element found: line 1, column 0 2016-10-21 16:20 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 19 楼程序跑出来几乎是完整的，可以试一下 2016-10-22 10:46 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 20 楼 27,这个最好根据情况定位一下问题了。读取xml的目的是为了获取包名和StartActivity。 2016-10-22 10:50 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 21 楼谢谢开源分享 2016-10-22 11:57 0
Love小玉雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	Love小玉 22 楼这是什么情况无限循环了，脱不了，例子是http://bbs.pediy.com/showthread.php?t=213092这个贴里的 meminfo: /dev/ashmem/dalvik-large ,len: 20480 ,readlen: 20480, start: a2959000 meminfo: /dev/kgsl-3d0 ,len: 69632 ,readlen: 65536, start: a295e000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 12288 ,re adlen: 12288, start: a296f000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 2691072 , readlen: 2691072, start: a2972000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 925696 ,r eadlen: 925696, start: a2c03000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 3698688 , readlen: 3698688, start: a2ce5000 meminfo: ,len: 2691072 ,readlen: 2691072, start: a306f000 [+] find dex, len : 2691072 , info : [+] This dex's fileSize: 2687496 [+] dex dump into /data/local/tmp/com.alex.lookwifipassword_dumped_2286.dex meminfo: [anon:libc_malloc] ,len: 3145728 ,readlen: 3145728, start: a3300000 meminfo: /dev/ashmem/dalvik-large ,len: 20480 ,readlen: 20480, start: a3604000 meminfo: /system/vendor/lib/egl/eglsubAndroid.so ,len: 40960 ,readlen: 40960, st art: a360d000 meminfo: /dev/ashmem/dalvik-large ,len: 40960 ,readlen: 40960, start: a361d000 meminfo: /dev/ashmem/dalvik-large ,len: 24576 ,readlen: 24576, start: a3627000 meminfo: /system/lib/libqservice.so ,len: 28672 ,readlen: 28672, start: a362d000 meminfo: ,len: 323584 ,readlen: 323584, start: a3638000 meminfo: ,len: 40960 ,readlen: 40960, start: a3687000 meminfo: [stack:9912] ,len: 1040384 ,readlen: 1040384, start: a3692000 meminfo: [stack:9911] ,len: 1040384 ,readlen: 1040384, start: a3791000 meminfo: [stack:9910] ,len: 1036288 ,readlen: 1036288, start: a3892000 meminfo: /dev/ashmem/dalvik-allocspace ,len: 8388608 ,readlen: 8388608, start: a 398f000 meminfo: /dev/ashmem/dalvik-allocspace ,len: 8388608 ,readlen: 8388608, start: a 418f000 meminfo: /system/lib/librs_jni.so ,len: 28672 ,readlen: 28672, start: a498f000 meminfo: /system/lib/libvorbisidec.so ,len: 98304 ,readlen: 98304, start: a49980 00 meminfo: /system/lib/libstagefright.so ,len: 1323008 ,readlen: 1323008, start: a 49b2000 meminfo: /system/lib/libstagefright.so ,len: 36864 ,readlen: 36864, start: a4af6 000 meminfo: [anon:libc_malloc] ,len: 1048576 ,readlen: 1048576, start: a4b00000 meminfo: /system/lib/libaudioeffect_jni.so ,len: 16384 ,readlen: 16384, start: a 4c04000 2016-10-22 18:36 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 23 楼你这是ART模式？我只在daivik模式下测试过。 2016-10-24 10:01 0
keeslient 雪币： 29 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	keeslient 24 楼谢谢分享先mark一下 2016-10-24 10:12 0
koflfy 雪币： 102 活跃值： (1845) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 392 粉丝 3 关注私信	koflfy 1 25 楼谢谢分享先mark一下 2016-10-24 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luciferkx

发帖

回帖

RANK

关注

私信

他的文章

[分享]自己写的简单脱壳工具 23039

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
wangzehua 雪币： 94 活跃值： (2197) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 83 粉丝 3 关注私信	wangzehua 2 楼先mark再看，多谢分享！ 2016-10-19 18:46 0
bengou 雪币： 1039 活跃值： (355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	bengou 3 楼谢谢分享 2016-10-20 07:51 0
hero3000 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 0 关注私信	hero3000 4 楼先mark再看，多谢分享！ 2016-10-20 08:20 0
crackhack 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	crackhack 5 楼先mark再看，多谢分享！ 2016-10-20 08:59 0
sunjor 雪币： 60 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 0 关注私信	sunjor 6 楼楼主后面两个起的别有用心啊 2016-10-20 09:03 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 7 楼没有啊，随便起的 2016-10-20 09:43 0
企鹅的py交易雪币： 17 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	企鹅的py交易 8 楼吃瓜群众前来学习 2016-10-20 09:59 0
ele7enxxh 雪币： 18 活跃值： (561) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 87 粉丝 7 关注私信	ele7enxxh 1 9 楼既然没开源,最好就不要放github 2016-10-20 10:11 0
gugubupt 雪币： 93 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 77 粉丝 0 关注私信	gugubupt 10 楼 mark 2016-10-20 11:30 0
目不转睛雪币： 77 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	目不转睛 11 楼后两个是要配置Python环境吧 2016-10-20 13:55 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 12 楼都是开源的呀，唯一没有公布源码的部分只有后面两个py里调用的NDK程序，但这NDK程序也是第一个drizzleDumper代码改进而来的，主要改的是内存定位和特征，区别不大。 2016-10-20 14:11 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 13 楼嗯是，需要python和java环境，并且因为是动态脱壳，所以需要连接设备或虚拟机。 2016-10-20 14:12 0
toToC 雪币： 62 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 1 关注私信	toToC 14 楼支持dalao 2016-10-20 14:30 0
目不转睛雪币： 77 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	目不转睛 15 楼后两个可以用第一个那种方法来脱吗？ 2016-10-20 15:13 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 16 楼原理上可以，但得根据情况修改第一个的代码 2016-10-20 15:44 0
永哥呀雪币： 44 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	永哥呀 17 楼 B和T两家脱出来的都是需要修复的，你这个有没有做修复？只是内存dump么？ 2016-10-21 14:48 0
liujg 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	liujg 18 楼 python 用什么版本？总是在获得ＡＰＫ信息时ＸＭＬ有问题 [*] Get package info Traceback (most recent call last): File "C:\BUnpacker-master\bunpacker.py", line 83, in <module> CheckEnv() File "C:\BUnpacker-master\bunpacker.py", line 44, in CheckEnv mfest = minidom.parseString(content) File "C:\Python27\lib\xml\dom\minidom.py", line 1928, in parseString return expatbuilder.parseString(string) File "C:\Python27\lib\xml\dom\expatbuilder.py", line 940, in parseString return builder.parseString(string) File "C:\Python27\lib\xml\dom\expatbuilder.py", line 223, in parseString parser.Parse(string, True) xml.parsers.expat.ExpatError: no element found: line 1, column 0 2016-10-21 16:20 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 19 楼程序跑出来几乎是完整的，可以试一下 2016-10-22 10:46 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 20 楼 27,这个最好根据情况定位一下问题了。读取xml的目的是为了获取包名和StartActivity。 2016-10-22 10:50 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 21 楼谢谢开源分享 2016-10-22 11:57 0
Love小玉雪币： 9 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	Love小玉 22 楼这是什么情况无限循环了，脱不了，例子是http://bbs.pediy.com/showthread.php?t=213092这个贴里的 meminfo: /dev/ashmem/dalvik-large ,len: 20480 ,readlen: 20480, start: a2959000 meminfo: /dev/kgsl-3d0 ,len: 69632 ,readlen: 65536, start: a295e000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 12288 ,re adlen: 12288, start: a296f000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 2691072 , readlen: 2691072, start: a2972000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 925696 ,r eadlen: 925696, start: a2c03000 meminfo: /data/data/com.alex.lookwifipassword/.jiagu/classes.oat ,len: 3698688 , readlen: 3698688, start: a2ce5000 meminfo: ,len: 2691072 ,readlen: 2691072, start: a306f000 [+] find dex, len : 2691072 , info : [+] This dex's fileSize: 2687496 [+] dex dump into /data/local/tmp/com.alex.lookwifipassword_dumped_2286.dex meminfo: [anon:libc_malloc] ,len: 3145728 ,readlen: 3145728, start: a3300000 meminfo: /dev/ashmem/dalvik-large ,len: 20480 ,readlen: 20480, start: a3604000 meminfo: /system/vendor/lib/egl/eglsubAndroid.so ,len: 40960 ,readlen: 40960, st art: a360d000 meminfo: /dev/ashmem/dalvik-large ,len: 40960 ,readlen: 40960, start: a361d000 meminfo: /dev/ashmem/dalvik-large ,len: 24576 ,readlen: 24576, start: a3627000 meminfo: /system/lib/libqservice.so ,len: 28672 ,readlen: 28672, start: a362d000 meminfo: ,len: 323584 ,readlen: 323584, start: a3638000 meminfo: ,len: 40960 ,readlen: 40960, start: a3687000 meminfo: [stack:9912] ,len: 1040384 ,readlen: 1040384, start: a3692000 meminfo: [stack:9911] ,len: 1040384 ,readlen: 1040384, start: a3791000 meminfo: [stack:9910] ,len: 1036288 ,readlen: 1036288, start: a3892000 meminfo: /dev/ashmem/dalvik-allocspace ,len: 8388608 ,readlen: 8388608, start: a 398f000 meminfo: /dev/ashmem/dalvik-allocspace ,len: 8388608 ,readlen: 8388608, start: a 418f000 meminfo: /system/lib/librs_jni.so ,len: 28672 ,readlen: 28672, start: a498f000 meminfo: /system/lib/libvorbisidec.so ,len: 98304 ,readlen: 98304, start: a49980 00 meminfo: /system/lib/libstagefright.so ,len: 1323008 ,readlen: 1323008, start: a 49b2000 meminfo: /system/lib/libstagefright.so ,len: 36864 ,readlen: 36864, start: a4af6 000 meminfo: [anon:libc_malloc] ,len: 1048576 ,readlen: 1048576, start: a4b00000 meminfo: /system/lib/libaudioeffect_jni.so ,len: 16384 ,readlen: 16384, start: a 4c04000 2016-10-22 18:36 0
luciferkx 雪币： 46 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	luciferkx 1 23 楼你这是ART模式？我只在daivik模式下测试过。 2016-10-24 10:01 0
keeslient 雪币： 29 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	keeslient 24 楼谢谢分享先mark一下 2016-10-24 10:12 0
koflfy 雪币： 102 活跃值： (1845) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 392 粉丝 3 关注私信	koflfy 1 25 楼谢谢分享先mark一下 2016-10-24 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复