[原创]百度加固逆向分析—dex还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]百度加固逆向分析—dex还原

发表于: 2017-6-30 13:49 21782

[原创]百度加固逆向分析—dex还原

scxc

2017-6-30 13:49

21782

上回说过要再写一篇文章，这里跟大家分享一下百度壳DEX的dump与修复。

下面开始：

一、如何获取dex

首先，我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个:

dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体

dvmDexFileOpenPartial 从内存获取DexFile结构体

百度这里用的是dvmDexFileOpenFromFd，通过这个函数我们得到了pDexFile

通过pDexFile->baseAddr 获取到dex加载的基址。

通过pDexFile->pHeader->fileSize 获取到dex文件大小。

这时我们已经得到dex了。

二、百度壳对dex做了什么？

1、修改DexClassDef中的classDataOff字段保存的偏移为负偏移

2、将classdata数据清空

三、这么做如何让系统正常解析？

百度的把classdata的数据保存在/data/data/xxxx/.1/1.jar包中，会在加载dex之前先分配空间给jar包，所以他的偏移为负值，内存结构如下图：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・44

免费・1

支持

赞赏记录

参与人

雪币

留言

时间

PLEBFE

为你点赞~

2023-2-12 05:33

最新回复 (47) 1 2 ▶
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 2 楼我顶啊 2017-6-30 14:13 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 3 楼 ddddddfx 我顶啊你这太划水了吧。。 2017-6-30 14:16 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼太厉害了 2017-6-30 14:33 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼这个厉害了！膜拜！ 2017-6-30 14:35 0
不知世事雪币： 3712 活跃值： (1621) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 6 楼不错，赞 2017-6-30 14:39 0
hanhaochi 雪币： 1788 活跃值： (1785) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 1 关注私信	hanhaochi 7 楼厉害了……等我涉及到这些，我天天去烦你…… 2017-6-30 14:47 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 8 楼 hanhaochi 厉害了……等我涉及到这些，我天天去烦你……[em_19] 韩大神最近在玩什么？ 2017-6-30 14:51 0
Youngs 雪币： 461 活跃值： (379) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 65 粉丝 1 关注私信	Youngs 9 楼厉害了！叼叼叼！！ 2017-6-30 14:58 0
欧阳峰峰雪币： 43 活跃值： (175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 5 关注私信	欧阳峰峰 10 楼大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V，这个函数，流程混淆的没法看了 2017-6-30 15:18 0
clumsybirda 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	clumsybirda 11 楼天气不错啊 2017-6-30 15:47 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 12 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 这个函数是在我分析的idb中的0x2CA4D。混淆我没看，可以hook malloc函数看看他放了什么进去。 2017-6-30 16:48 0
Loopher 雪币： 329 活跃值： (941) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 205 粉丝 0 关注私信	Loopher 13 楼叼叼叼 2017-7-1 11:07 0
Lostself 雪币： 118 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Lostself 14 楼 66666 2017-7-1 16:55 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 15 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 你可以分析下0x3292C到0x329DC中间内容。其他都没用的。。 2017-7-3 11:42 0
smehod 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smehod 16 楼厉害！ 2017-7-3 14:47 0
欧阳峰峰雪币： 43 活跃值： (175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 5 关注私信	欧阳峰峰 17 楼谢大神，onCreate差不多分析完了 2017-7-3 21:16 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 18 楼欧阳峰峰谢大神，onCreate差不多分析完了别叫大神了，我是渣渣。看雪的大佬太多。 2017-7-4 11:06 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 19 楼谢大神，onCreate差不多分析完了 2017-7-4 15:05 0
ugene 雪币： 182 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	ugene 20 楼太厉害了 2017-7-5 14:32 0
繁华皆成空雪币： 25 活跃值： (1421) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 69 粉丝 7 关注私信	繁华皆成空 21 楼看来百度用了2代壳+vmp 2017-7-6 18:01 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 22 楼繁华皆成空 [em_4][em_4]看来百度用了2代壳+vmp 没有vmp只有混淆 2017-7-6 19:25 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 23 楼有vmp有混淆，跟360的一样，通过jni解释的 2017-7-6 20:00 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 24 楼欧阳锋锋有vmp有混淆，跟360的一样，通过jni解释的[em_48] 好吧我还没分析里面流程没看到呢 dalvik指令的解释器不能算vmp吧？这种跟邦邦企业版的vmp差的还挺大吧 2017-7-6 20:41 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 25 楼先前分析棒棒企业版的，就是内存加载加类抽取加这种vmp，各大加固厂商宣传的vmp也是这种实现原理，没看到哪家是不依赖dalvik，真正自己实现一套指令的，难道现在棒棒实现了？企业版和免费的，在dex的加载执行上区别是不大的，无非是在对so的处理上，保护强度大些 2017-7-6 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

scxc

发帖

回帖

215

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 2 楼我顶啊 2017-6-30 14:13 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 3 楼 ddddddfx 我顶啊你这太划水了吧。。 2017-6-30 14:16 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼太厉害了 2017-6-30 14:33 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼这个厉害了！膜拜！ 2017-6-30 14:35 0
不知世事雪币： 3712 活跃值： (1621) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 6 楼不错，赞 2017-6-30 14:39 0
hanhaochi 雪币： 1788 活跃值： (1785) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 1 关注私信	hanhaochi 7 楼厉害了……等我涉及到这些，我天天去烦你…… 2017-6-30 14:47 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 8 楼 hanhaochi 厉害了……等我涉及到这些，我天天去烦你……[em_19] 韩大神最近在玩什么？ 2017-6-30 14:51 0
Youngs 雪币： 461 活跃值： (379) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 65 粉丝 1 关注私信	Youngs 9 楼厉害了！叼叼叼！！ 2017-6-30 14:58 0
欧阳峰峰雪币： 43 活跃值： (175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 5 关注私信	欧阳峰峰 10 楼大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V，这个函数，流程混淆的没法看了 2017-6-30 15:18 0
clumsybirda 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	clumsybirda 11 楼天气不错啊 2017-6-30 15:47 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 12 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 这个函数是在我分析的idb中的0x2CA4D。混淆我没看，可以hook malloc函数看看他放了什么进去。 2017-6-30 16:48 0
Loopher 雪币： 329 活跃值： (941) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 205 粉丝 0 关注私信	Loopher 13 楼叼叼叼 2017-7-1 11:07 0
Lostself 雪币： 118 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Lostself 14 楼 66666 2017-7-1 16:55 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 15 楼欧阳峰峰大神，onCreate流程研究了没？ invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava ... 你可以分析下0x3292C到0x329DC中间内容。其他都没用的。。 2017-7-3 11:42 0
smehod 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smehod 16 楼厉害！ 2017-7-3 14:47 0
欧阳峰峰雪币： 43 活跃值： (175) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 5 关注私信	欧阳峰峰 17 楼谢大神，onCreate差不多分析完了 2017-7-3 21:16 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 18 楼欧阳峰峰谢大神，onCreate差不多分析完了别叫大神了，我是渣渣。看雪的大佬太多。 2017-7-4 11:06 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 19 楼谢大神，onCreate差不多分析完了 2017-7-4 15:05 0
ugene 雪币： 182 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	ugene 20 楼太厉害了 2017-7-5 14:32 0
繁华皆成空雪币： 25 活跃值： (1421) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 69 粉丝 7 关注私信	繁华皆成空 21 楼看来百度用了2代壳+vmp 2017-7-6 18:01 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 22 楼繁华皆成空 [em_4][em_4]看来百度用了2代壳+vmp 没有vmp只有混淆 2017-7-6 19:25 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 23 楼有vmp有混淆，跟360的一样，通过jni解释的 2017-7-6 20:00 0
scxc 雪币： 2907 活跃值： (1356) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 75 粉丝 32 关注私信	scxc 3 24 楼欧阳锋锋有vmp有混淆，跟360的一样，通过jni解释的[em_48] 好吧我还没分析里面流程没看到呢 dalvik指令的解释器不能算vmp吧？这种跟邦邦企业版的vmp差的还挺大吧 2017-7-6 20:41 0
欧阳锋锋雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	欧阳锋锋 25 楼先前分析棒棒企业版的，就是内存加载加类抽取加这种vmp，各大加固厂商宣传的vmp也是这种实现原理，没看到哪家是不依赖dalvik，真正自己实现一套指令的，难道现在棒棒实现了？企业版和免费的，在dex的加载执行上区别是不大的，无非是在对so的处理上，保护强度大些 2017-7-6 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]百度加固逆向分析—dex还原

账号登录 验证码登录

账号登录

验证码登录