[原创]百度加固逆向分析—dex还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]百度加固逆向分析—dex还原

发表于: 2017-6-30 13:49 21177

[原创]百度加固逆向分析—dex还原

scxc

2017-6-30 13:49

21177

上回说过要再写一篇文章，这里跟大家分享一下百度壳DEX的dump与修复。

下面开始：

一、如何获取dex

首先，我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个:

dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体

dvmDexFileOpenPartial 从内存获取DexFile结构体

百度这里用的是dvmDexFileOpenFromFd，通过这个函数我们得到了pDexFile

通过pDexFile->baseAddr 获取到dex加载的基址。

通过pDexFile->pHeader->fileSize 获取到dex文件大小。

这时我们已经得到dex了。

二、百度壳对dex做了什么？

1、修改DexClassDef中的classDataOff字段保存的偏移为负偏移

2、将classdata数据清空

三、这么做如何让系统正常解析？

百度的把classdata的数据保存在/data/data/xxxx/.1/1.jar包中，会在加载dex之前先分配空间给jar包，所以他的偏移为负值，内存结构如下图：

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・44

免费・1

支持

最新回复 (47) 1 2 ▶
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 2 楼我顶啊 2017-6-30 14:13 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 3 楼 ddddddfx 我顶啊你这太划水了吧。。 2017-6-30 14:16 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼太厉害了 2017-6-30 14:33 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼这个厉害了！膜拜！ 2017-6-30 14:35 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 6 楼不错，赞 2017-6-30 14:39 0
hanhaochi 雪币： 1721 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 1 关注私信	hanhaochi 7 楼厉害了……等我涉及到这些，我天天去烦你…… 2017-6-30 14:47 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 8 楼 hanhaochi 厉害了……等我涉及到这些，我天天去烦你……[em_19] 韩大神最近在玩什么？ 2017-6-30 14:51 0
Youngs 雪币： 461 活跃值： (319) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 63 粉丝 1 关注私信	Youngs 9 楼厉害了！叼叼叼！！ 2017-6-30 14:58 0
欧阳峰峰雪币： 43 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 4 关注私信	欧阳峰峰 10 楼大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V，这个函数，流程混淆的没法看了 2017-6-30 15:18 0
clumsybirda 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	clumsybirda 11 楼天气不错啊 2017-6-30 15:47 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 12 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 这个函数是在我分析的idb中的0x2CA4D。混淆我没看，可以hook malloc函数看看他放了什么进去。 2017-6-30 16:48 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 13 楼叼叼叼 2017-7-1 11:07 0
Lostself 雪币： 118 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Lostself 14 楼 66666 2017-7-1 16:55 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 15 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 你可以分析下0x3292C到0x329DC中间内容。其他都没用的。。 2017-7-3 11:42 0
smehod 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smehod 16 楼厉害！ 2017-7-3 14:47 0
欧阳峰峰雪币： 43 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 4 关注私信	欧阳峰峰 17 楼谢大神，onCreate差不多分析完了 2017-7-3 21:16 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 18 楼欧阳峰峰谢大神，onCreate差不多分析完了别叫大神了，我是渣渣。看雪的大佬太多。 2017-7-4 11:06 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 19 楼谢大神，onCreate差不多分析完了 2017-7-4 15:05 0
ugene 雪币： 162 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	ugene 20 楼太厉害了 2017-7-5 14:32 0
繁华皆成空雪币： 25 活跃值： (1111) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 64 粉丝 7 关注私信	繁华皆成空 21 楼看来百度用了2代壳+vmp 2017-7-6 18:01 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 22 楼繁华皆成空 [em_4][em_4]看来百度用了2代壳+vmp 没有vmp只有混淆 2017-7-6 19:25 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 23 楼有vmp有混淆，跟360的一样，通过jni解释的 2017-7-6 20:00 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 24 楼欧阳锋锋有vmp有混淆，跟360的一样，通过jni解释的[em_48] 好吧我还没分析里面流程没看到呢 dalvik指令的解释器不能算vmp吧？这种跟邦邦企业版的vmp差的还挺大吧 2017-7-6 20:41 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 25 楼先前分析棒棒企业版的，就是内存加载加类抽取加这种vmp，各大加固厂商宣传的vmp也是这种实现原理，没看到哪家是不依赖dalvik，真正自己实现一套指令的，难道现在棒棒实现了？企业版和免费的，在dex的加载执行上区别是不大的，无非是在对so的处理上，保护强度大些 2017-7-6 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

scxc

发帖

回帖

215

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 2 楼我顶啊 2017-6-30 14:13 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 3 楼 ddddddfx 我顶啊你这太划水了吧。。 2017-6-30 14:16 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼太厉害了 2017-6-30 14:33 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼这个厉害了！膜拜！ 2017-6-30 14:35 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 6 楼不错，赞 2017-6-30 14:39 0
hanhaochi 雪币： 1721 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 1 关注私信	hanhaochi 7 楼厉害了……等我涉及到这些，我天天去烦你…… 2017-6-30 14:47 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 8 楼 hanhaochi 厉害了……等我涉及到这些，我天天去烦你……[em_19] 韩大神最近在玩什么？ 2017-6-30 14:51 0
Youngs 雪币： 461 活跃值： (319) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 63 粉丝 1 关注私信	Youngs 9 楼厉害了！叼叼叼！！ 2017-6-30 14:58 0
欧阳峰峰雪币： 43 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 4 关注私信	欧阳峰峰 10 楼大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V，这个函数，流程混淆的没法看了 2017-6-30 15:18 0
clumsybirda 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	clumsybirda 11 楼天气不错啊 2017-6-30 15:47 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 12 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 这个函数是在我分析的idb中的0x2CA4D。混淆我没看，可以hook malloc函数看看他放了什么进去。 2017-6-30 16:48 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 13 楼叼叼叼 2017-7-1 11:07 0
Lostself 雪币： 118 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Lostself 14 楼 66666 2017-7-1 16:55 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 15 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 你可以分析下0x3292C到0x329DC中间内容。其他都没用的。。 2017-7-3 11:42 0
smehod 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smehod 16 楼厉害！ 2017-7-3 14:47 0
欧阳峰峰雪币： 43 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 4 关注私信	欧阳峰峰 17 楼谢大神，onCreate差不多分析完了 2017-7-3 21:16 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 18 楼欧阳峰峰谢大神，onCreate差不多分析完了别叫大神了，我是渣渣。看雪的大佬太多。 2017-7-4 11:06 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 19 楼谢大神，onCreate差不多分析完了 2017-7-4 15:05 0
ugene 雪币： 162 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	ugene 20 楼太厉害了 2017-7-5 14:32 0
繁华皆成空雪币： 25 活跃值： (1111) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 64 粉丝 7 关注私信	繁华皆成空 21 楼看来百度用了2代壳+vmp 2017-7-6 18:01 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 22 楼繁华皆成空 [em_4][em_4]看来百度用了2代壳+vmp 没有vmp只有混淆 2017-7-6 19:25 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 23 楼有vmp有混淆，跟360的一样，通过jni解释的 2017-7-6 20:00 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 24 楼欧阳锋锋有vmp有混淆，跟360的一样，通过jni解释的[em_48] 好吧我还没分析里面流程没看到呢 dalvik指令的解释器不能算vmp吧？这种跟邦邦企业版的vmp差的还挺大吧 2017-7-6 20:41 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 25 楼先前分析棒棒企业版的，就是内存加载加类抽取加这种vmp，各大加固厂商宣传的vmp也是这种实现原理，没看到哪家是不依赖dalvik，真正自己实现一套指令的，难道现在棒棒实现了？企业版和免费的，在dex的加载执行上区别是不大的，无非是在对so的处理上，保护强度大些 2017-7-6 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复