首页
社区
课程
招聘
[讨论]现在安卓加固好像不存在自加密自解密的情况了
发表于: 2019-4-18 10:24 3957

[讨论]现在安卓加固好像不存在自加密自解密的情况了

2019-4-18 10:24
3957
小白我最近在研究安卓脱壳,发现现在业界的加壳有这么个趋势:内存壳结合vmp
首先内存壳那套我用魔改的DexHunter都能脱出来,用baksmali转了下也没有发现太大的问题
某企鹅:不知道是不是因为我分析的样本比较少,发现某企鹅的加固在lib/armeabi下都会有个标了版本号的libshella-x.x.x的so,版本号最多到2.10.7.1,而目前企鹅的应用都逐渐在放弃加壳,以企鹅课堂为例,2018年9月以前的版本都是有加乐固壳的,此后就开始不加壳了,不知道是因为兼容性问题还是其他什么问题
数字:数字壳最晚从去年就开始使用vmp了,他们家的vmp有个特点是只把onCreate函数转化成native,并且执行过程中native不会再变回java,总的来说vmp函数的比例还是比较少的,大概就占总函数的2%~3%左右,绝大部分方法还是用内存壳加密
某加密:某加密和数字的情况差不多,也是内存壳结合vmp,vmp函数的占比也不大,但某加密使用vmp的时候,不会像数字一样只把onCreate变成vmp,别的函数也可以变成vmp
某度:其实某度是我最感兴趣的,因为2年前出过这么一个样本
大概意思就是说百度将onCreate函数里的内容抽取出来,但直到执行A.d(str)前,onCreate001里的内容仍然为空,执行A.d以后,才会将onCreate原本的内容放到onCreate001里,执行完A.e(str)后,onCreate001又变成空了。这个机制对付DexHunter这类直接dump内存的还是挺有用的。但是这种技术好像只有百度一家在用,而且最近都看不到了,是什么原因呢?是兼容性还是说有更好的替代方案了

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 47
活跃值: (418)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
看到 vmp 函数占比不大,大概就可以知道这几家的兼容性做的一般,vmp 加多了还可能跑起来卡顿严重。据我所知,某家加固厂商的 vmp 是可以对客户所有自己的逻辑全部 vmp 化的。
2019-4-18 10:51
0
雪    币:
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
小白求个样本研究研究
2019-4-18 11:25
0
雪    币:
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
GeneBlue 看到 vmp 函数占比不大,大概就可以知道这几家的兼容性做的一般,vmp 加多了还可能跑起来卡顿严重。据我所知,某家加固厂商的 vmp 是可以对客户所有自己的逻辑全部 vmp 化的。
小白求个样本研究研究
2019-4-18 11:28
0
雪    币: 47
活跃值: (418)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
喬喬 小白求个样本研究研究
加q私聊吧, 三零65八六97六0
最后于 2019-4-18 12:12 被GeneBlue编辑 ,原因:
2019-4-18 11:32
0
雪    币: 2039
活跃值: (1468)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
6
一般加固,免费版vmp函数肯定只做少量,意思意思。
付费版,如果客户不吭声,也不会做太多。
2019-4-18 13:54
0
雪    币: 1030
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
首先,VMP肯定影响性能的,被VMP的函数肯定越少越好。
实际情况是,任何一个APP真正比较重要且需要做保护的代码逻辑占比也很少……
2019-4-18 16:58
0
雪    币: 19
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
这个魔改的dexHunter 能详细说下吗
2019-6-4 15:46
0
游客
登录 | 注册 方可回帖
返回
//