-
-
[原创]360加固之onCreate函数还原并重打包
-
发表于: 2017-12-9 20:06
-
断断续续弄360的壳子搞了个把月,把这次的成果分享给大家。。。
在还原之前,我们需要一份360加固的指令映射表,感谢https://bbs.pediy.com/thread-222412.htm这篇文章提供的指令映射表,我对这个表进行了补全,包含所有的Dalvik opcode
struct DexCode {
u2 registersSize;
u2 insSize;
u2 outsSize;
u2 triesSize;
u4 debugInfoOff;
u4 insnsSize;
u2 insns[1];
};
对于native onCreate函数的DexCode,前0x10个字节没有加密, 后面的insns被360加密了,我们需要做的就是将insns指令还原,
加密的insns指令以及解码insns指令的key值都是通过parse_tree这个函数得到的,其中第一个参数是一个全局变量,第二个参数是"类名->方法名"
虽然可以手动改变第二个参数为不同类的onCreate方法,来获取不同方法的加密指令insns,但是我分析的样本是360自家的一个App,共有49个native onCreate函数,手动弄很麻烦,
还原的核心思路就是手动调用parse_tree函数,
由于parse_tree函数是在360的第二个so里面,而且是通过内存加载的方式来加载这个so,这里我们来进行“
二阶Hook
” 获取parse_tree函数地址
首先Hook dlopen函数得到libjiagu.so的基址,在new_dlopen函数中内存加载函数soMemLoader
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
脱掉的原始dex |
|
|
soMemLoader,parse_tree这两个函数是怎么跟出来的 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
谢谢分享
|
|
|
|
|
|
很厉害了,多多分享,多多学习
|
|
|
|
|
|
|
