-
-
[讨论]现在安卓加固好像不存在自加密自解密的情况了
-
发表于: 2019-4-18 10:24
-
小白我最近在研究安卓脱壳,发现现在业界的加壳有这么个趋势:内存壳结合vmp
首先内存壳那套我用魔改的DexHunter都能脱出来,用baksmali转了下也没有发现太大的问题
某企鹅:不知道是不是因为我分析的样本比较少,发现某企鹅的加固在lib/armeabi下都会有个标了版本号的libshella-x.x.x的so,版本号最多到2.10.7.1,而目前企鹅的应用都逐渐在放弃加壳,以企鹅课堂为例,2018年9月以前的版本都是有加乐固壳的,此后就开始不加壳了,不知道是因为兼容性问题还是其他什么问题
数字:数字壳最晚从去年就开始使用vmp了,他们家的vmp有个特点是只把onCreate函数转化成native,并且执行过程中native不会再变回java,总的来说vmp函数的比例还是比较少的,大概就占总函数的2%~3%左右,绝大部分方法还是用内存壳加密
某加密:某加密和数字的情况差不多,也是内存壳结合vmp,vmp函数的占比也不大,但某加密使用vmp的时候,不会像数字一样只把onCreate变成vmp,别的函数也可以变成vmp
某度:其实某度是我最感兴趣的,因为2年前出过这么一个样本
大概意思就是说百度将onCreate函数里的内容抽取出来,但直到执行A.d(str)前,onCreate001里的内容仍然为空,执行A.d以后,才会将onCreate原本的内容放到onCreate001里,执行完A.e(str)后,onCreate001又变成空了。这个机制对付DexHunter这类直接dump内存的还是挺有用的。但是这种技术好像只有百度一家在用,而且最近都看不到了,是什么原因呢?是兼容性还是说有更好的替代方案了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
