[求助]脱壳为啥不直接拿odex，oat文件？-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 2 楼 ... 加过壳的odex和oat文件只是壳的odex和oat文件好吗。。原始的dex是加密后从内存加载的，不会在文件目录中出现的，而且内存加载这种技术都是好几年前的了，现在只是用来防一些完全不会的小白，现在普遍的策略都是vmp+高强度混淆，已经没法再用脱壳机这种东西了。 2016-12-2 11:56 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 3 楼我论坛问了半天了，也没见谁实现了ART上dex内存加载技术，不知道各大加固公司是否都有成熟的 art虚拟机内存加载dex技术。。我自己也研究了点，困难重重，适配性很差。 2016-12-2 14:07 0
黑夜破解雪币： 3 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 1 关注私信	黑夜破解 4 楼娃哈哈笑死我了，art模式下你还要像dalvik那样载入dex啊，噗，笑喷啦，哇哈哈不行了救救我，，我呢个去，，好吧告诉你吧，art模式下已经是dex变成oat一种elf格式的变形了，为啥这么做就是因为用空间换速度，你还要搞回去啊，那就要自己写个跟dalvik一样的虚拟机了，尼玛好搞笑，还有你说的，为啥不能直接拿odex，因为在dalvik模式下，odex被人改了结构，比如偏移啥的，这样人家就不能快乐的dump了，就算你拿到odex也没用懂我的意思吗，，，至于oat文件，你也拿不到啊，因为解析oat的文件的函数人家自己实现的比如某加密那个我只是觉得好笑别生气哈，不懂欢迎求问 2016-12-2 15:15 0
lscmxl 雪币： 1096 活跃值： (349) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 37 粉丝 2 关注私信	lscmxl 5 楼 art下可以实现dex内存加载，查看源码就不难发现，先试图加载oat文件，无则优化后再加载，再次失败就是dex文件加载了。需要hook篡改一些逻辑。搭载Android5以上的机型普遍性能上比Android4高一些，所以虽然又变成了dalvik解析模式，但尚可接受。 2016-12-2 15:44 0
bbxt 雪币： 3 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 1 关注私信	bbxt 6 楼所以大神~请问某加密那种VMP能防止内存dump嘛？虚心求教。。 2016-12-2 16:38 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 7 楼你觉得好笑是因为你没动脑筋就想当然了吧？ 1.oat文件里面内嵌完整的dex是常识，拿到oat文件相当于拿到dex 2.内存直接加载dex是为了不让classloader生成odex或者oat文件，不让这些文件落地直接供别人分析 3.实现art下内存加载dex，坛子里有大神也在研究，但或者没有成熟的成果，或者保护知识产权不分享，我按照他们的思路也也尝试过了，比如杀手的文章，但碰到三星兼容+6.0 直接崩的问题，正在四处请教 http://bbs.pediy.com/showthread.php?t=213098&highlight=art+dex 4.如果你有可行的方案，共享下，谢谢 2016-12-2 17:21 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 8 楼如果各大加固公司没有成熟的内存加载 dex方案，oat文件总会落地，相当于白干了。。。而如果在内存中动态修改oat文件又感觉相当复杂。。。 2016-12-2 17:26 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 2 关注私信	无边 9 楼防止内存dump,只是反调试的一种手段 2016-12-2 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 2 楼 ... 加过壳的odex和oat文件只是壳的odex和oat文件好吗。。原始的dex是加密后从内存加载的，不会在文件目录中出现的，而且内存加载这种技术都是好几年前的了，现在只是用来防一些完全不会的小白，现在普遍的策略都是vmp+高强度混淆，已经没法再用脱壳机这种东西了。 2016-12-2 11:56 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 3 楼我论坛问了半天了，也没见谁实现了ART上dex内存加载技术，不知道各大加固公司是否都有成熟的 art虚拟机内存加载dex技术。。我自己也研究了点，困难重重，适配性很差。 2016-12-2 14:07 0
黑夜破解雪币： 3 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 1 关注私信	黑夜破解 4 楼娃哈哈笑死我了，art模式下你还要像dalvik那样载入dex啊，噗，笑喷啦，哇哈哈不行了救救我，，我呢个去，，好吧告诉你吧，art模式下已经是dex变成oat一种elf格式的变形了，为啥这么做就是因为用空间换速度，你还要搞回去啊，那就要自己写个跟dalvik一样的虚拟机了，尼玛好搞笑，还有你说的，为啥不能直接拿odex，因为在dalvik模式下，odex被人改了结构，比如偏移啥的，这样人家就不能快乐的dump了，就算你拿到odex也没用懂我的意思吗，，，至于oat文件，你也拿不到啊，因为解析oat的文件的函数人家自己实现的比如某加密那个我只是觉得好笑别生气哈，不懂欢迎求问 2016-12-2 15:15 0
lscmxl 雪币： 1096 活跃值： (349) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 37 粉丝 2 关注私信	lscmxl 5 楼 art下可以实现dex内存加载，查看源码就不难发现，先试图加载oat文件，无则优化后再加载，再次失败就是dex文件加载了。需要hook篡改一些逻辑。搭载Android5以上的机型普遍性能上比Android4高一些，所以虽然又变成了dalvik解析模式，但尚可接受。 2016-12-2 15:44 0
bbxt 雪币： 3 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 1 关注私信	bbxt 6 楼所以大神~请问某加密那种VMP能防止内存dump嘛？虚心求教。。 2016-12-2 16:38 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 7 楼你觉得好笑是因为你没动脑筋就想当然了吧？ 1.oat文件里面内嵌完整的dex是常识，拿到oat文件相当于拿到dex 2.内存直接加载dex是为了不让classloader生成odex或者oat文件，不让这些文件落地直接供别人分析 3.实现art下内存加载dex，坛子里有大神也在研究，但或者没有成熟的成果，或者保护知识产权不分享，我按照他们的思路也也尝试过了，比如杀手的文章，但碰到三星兼容+6.0 直接崩的问题，正在四处请教 http://bbs.pediy.com/showthread.php?t=213098&highlight=art+dex 4.如果你有可行的方案，共享下，谢谢 2016-12-2 17:21 0
koftnt 雪币： 4 活跃值： (457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 8 楼如果各大加固公司没有成熟的内存加载 dex方案，oat文件总会落地，相当于白干了。。。而如果在内存中动态修改oat文件又感觉相当复杂。。。 2016-12-2 17:26 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 2 关注私信	无边 9 楼防止内存dump,只是反调试的一种手段 2016-12-2 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复