-
-
[原创]【脱壳二】某最新免费壳分析+脱壳
-
发表于: 2018-5-7 16:22
-
分析中有什么错误欢迎大家指出
java层有一个DexInstall类,Native层会通过jni方法调用install(ClassLoader loader, String dex_path, String dexDir)方法
一直往下分析,此方法主要作用就是把Native层解密的dex通过反射调用makeDexElements方法把生成的Element数组加入到dexElements数组中
具体过程可以参考android源码
https://www.androidos.net.cn/android/4.4.4_r1/xref/libcore/dalvik/src/main/java/dalvik/system/BaseDexClassLoader.java
https://www.androidos.net.cn/android/4.4.4_r1/xref/libcore/dalvik/src/main/java/dalvik/system/DexPathList.java
快分析完才想起打算用art模式分析的,那就分析下一个壳用art模式分析把
这个是dalvik模式,nexus5 4.4.4
逻辑比较简单,主要是加载libSecShell.so,和替换原APP的Application,Helper.h的native方法是对华为手机一些设置,手里没有华为手机具体native没有分析
通过查看.init_array和.finit_array段没有做具体内容,解密方法应该放在了JNI_OnLoad中,一看就是经过llvm混淆过,正常代码怎么会有这种逻辑
f5看一眼,能正常反编译,大体扫一眼逻辑还是可以接受的没那么变态,发现字符串都被加密了,部分方法也被加密了
只能动态分析了,具体就不帖代码了,最后我会把分析的so文件分享给大家
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-5-7 16:23
被Roselia编辑
,原因:
