[原创]FART：ART环境下基于主动调用的自动化脱壳方案-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]FART：ART环境下基于主动调用的自动化脱壳方案

发表于: 2019-7-15 18:26 98816

[原创]FART：ART环境下基于主动调用的自动化脱壳方案

hanbingle

2019-7-15 18:26

98816

查看主题内容

收藏・286

免费・63

支持

打赏 + 160.00雪花

看雪高研

koflfy

打赏次数 3

雪花 + 160.00

看雪高研	+10.00	2022/08/29	hanbing NB
koflfy	+100.00	2019/08/13	向楼主学到很多东西，诚心感谢。
koflfy	+50.00	2019/07/16	精品文章～

最新回复 (124) ◀ 1 2 3 4 5 ▶
孤月独明雪币： 199 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	孤月独明 76 楼所以最终分析要看result.txt，而不是修复后的完整dex？ 2019-7-29 16:32 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 77 楼 jieqn 啥套路啊，交了50块进群费啥也没说，五分钟后直接踢了我早已退回，请删除不实评论 2019-7-29 18:16 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 78 楼孤月独明所以最终分析要看result.txt，而不是修复后的完整dex？抱歉，修复合成dex的版本不会提供，你可以自行修改python修复脚本即可 2019-7-29 18:18 0
给大佬递茶雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	给大佬递茶 79 楼楼主草粉吗，再次感谢大佬的分享精神。哈哈，大佬提供的修复脚本真的是代码好长，几千行愣是看的我头晕转向，不过好在逻辑清晰，终于看的有那么一知半解了。还有，感觉这个修复脚本不止可以用在这里的函数抽取的恢复，可以运用在各家的vmp的函数修复等等一切需要函数修复的地方 2019-8-7 08:22 0
FuckCyber 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	FuckCyber 80 楼看了楼主的思路，真的是非常巧妙，而且大佬给出的修复脚本确实是非常好。这篇帖子的亮点我觉得对于我来说最重要的就是亮点，一个是ART下的主动调用思路和设计，一个就是大佬的python修复脚本。首先大佬设计的自动化脱壳思路个人感觉是到目前为止完爆网上的那些dump的方案的脱壳思路的，其次，大佬给出的修复方案也是十分的巧妙的，我拿看雪上17年的数字的vmp加固的app，在dump下来onCreate函数体后，稍微套用下大佬的python修复脚本就修复了，真的是逆向必备。最后，再次感谢大佬的共享精神！ 2019-8-14 22:32 0
TinHsieh 雪币： 145 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	TinHsieh 81 楼膜拜...膜拜...膜拜... 2019-8-15 10:30 0
Mar.明雪币： 31 活跃值： (211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Mar.明 82 楼学习了，真的很详细，等我刷个6.0手机手动实现一遍 2019-9-5 16:09 0
Dovah_kiin 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Dovah_kiin 83 楼最近正在看加壳脱壳相关的技术，这个有点意思慢慢学吧谢谢大佬分享！！！！有些人ntm想偷技术想疯了吧,进群了又想白嫖,什么好处都给你了啊!!! 2019-9-18 16:12 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 84 楼我们可以看到ArtMethod类中的Invoke方法在jni中扮演着至关重要的地位。于是，我们可以构造出自己的invoke函数，在该函数中再调用ArtMethod的Invoke方法从而完成主动调用，并在ArtMethod的Invoke函数中首先进行判断，当发现是我们自己的主动调用时就进行方法体的dump并直接返回，从而完成对壳的欺骗，达到方法体的dump。如果壳通过开源代码自己写这个函数实现java层的调用，那么你这个方法就不能dump到任何原代码（smali代码）。 2019-9-26 14:58 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 85 楼 tDasm 我们可以看到ArtMethod类中的Invoke方法在jni中扮演着至关重要的地位。于是，我们可以构造出自己的invoke函数，在该函数中再调用ArtMethod的Invoke方法从而完成主动调用，并 ... 对于ArtMethod这个类来说，不同的Android版本有着不同的定义。理论上来说，自己实现这个函数，是可以的，但是无论是从兼容性还是效率以及实现难度来说，这样做几乎是不可能的。或许你可以提供一个这样的样本发给我看看 2019-9-26 16:47 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 86 楼 hanbingle 对于ArtMethod这个类来说，不同的Android版本有着不同的定义。理论上来说，自己实现这个函数，是可以的，但是无论是从兼容性还是效率以及实现难度来说，这样做几乎是不可能的。或许你可以提供一个这 ... 你这个说法就有问题，既然利用开源代码，那么就等同于安卓原函数，不应该有你说的兼容性和效率问题。再说也不一定要全部实现只需要防止hook、修改就行。最后于 2019-9-26 17:09 被tDasm编辑，原因： 2019-9-26 17:09 0
kanxuexge 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	kanxuexge 87 楼 nexus5 刷了 ham 6.0 APOS rom，无法root。没看到data/fart 2019-10-4 20:54 0
kanxuexge 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	kanxuexge 88 楼你发的系统rom好像没法root 2019-10-4 21:03 0
ueoboy 雪币： 455 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	ueoboy 89 楼请问你提供的镜像x86目录里的 ramdisk.img 等文件怎么在vmware里引导 2019-10-10 12:39 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 90 楼有什么特征或者log表明脱壳已经完毕 2019-10-12 19:13 0
Lemonr 雪币： 14 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	Lemonr 91 楼 2019-11-6 21:09 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 92 楼映像文件太大，能不能提供编译好、修改过的几个文件而不是所有文件？ 2019-11-7 16:27 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 93 楼 .method protected onCreate(Landroid/os/Bundle;)V .locals 4 const v1, 0xa000001 const v3, 0x1 new-array v0, v3, [Ljava/lang/Object; const v3, 0x0 check-cast p1, Ljava/lang/Object; aput-object p1, v0, v3 invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V return-void .end method 百度加固，使用了这个方法，能修复？ 2019-11-19 10:55 0
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 62 粉丝 1 关注私信	@=llfly 94 楼感谢分享，后排膜拜 2020-1-8 17:50 0
GDD零零雪币： 0 活跃值： (40) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	GDD零零 95 楼膜膜膜膜最后于 2020-1-26 13:07 被GDD零零编辑，原因： 2020-1-26 12:50 0
丧尽心雪币： 0 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	丧尽心 96 楼我觉得楼主分享这个很好，不知为什么会有人攻击，我自己看了一遍，里面说的很清楚是类抽取(VMP是VMP本身就不一样)，还是我看的时候帖子已经修改好了？还有人家群收费是人家的自由，你不喜欢就不要加。只想白嫖人家的群又诋毁人家是什么心态？这篇文章确实给我带来不少收获，希望楼主不要因为一些人而影响分享的精神。功能还没测试，待会儿虚拟机开起来改看看先 2020-2-10 15:45 0
xdnice 雪币： 1482 活跃值： (2528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	xdnice 97 楼膜拜一下。 2020-2-13 13:20 0
挤蹭菌衣雪币： 5235 活跃值： (3260) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 129 粉丝 122 关注私信	挤蹭菌衣 1 98 楼膜拜大佬，学习了 2020-2-19 17:52 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 99 楼能请教一下，fart工具配置文件，是什什么意思？ 2020-3-24 23:01 0
hasking 雪币： 344 活跃值： (314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	hasking 100 楼话说主动调用类的所有方法不会因为超时而崩溃吗。 2020-3-24 23:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hanbingle

发帖

回帖

134

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (124) ◀ 1 2 3 4 5 ▶
孤月独明雪币： 199 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	孤月独明 76 楼所以最终分析要看result.txt，而不是修复后的完整dex？ 2019-7-29 16:32 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 77 楼 jieqn 啥套路啊，交了50块进群费啥也没说，五分钟后直接踢了我早已退回，请删除不实评论 2019-7-29 18:16 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 78 楼孤月独明所以最终分析要看result.txt，而不是修复后的完整dex？抱歉，修复合成dex的版本不会提供，你可以自行修改python修复脚本即可 2019-7-29 18:18 0
给大佬递茶雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	给大佬递茶 79 楼楼主草粉吗，再次感谢大佬的分享精神。哈哈，大佬提供的修复脚本真的是代码好长，几千行愣是看的我头晕转向，不过好在逻辑清晰，终于看的有那么一知半解了。还有，感觉这个修复脚本不止可以用在这里的函数抽取的恢复，可以运用在各家的vmp的函数修复等等一切需要函数修复的地方 2019-8-7 08:22 0
FuckCyber 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	FuckCyber 80 楼看了楼主的思路，真的是非常巧妙，而且大佬给出的修复脚本确实是非常好。这篇帖子的亮点我觉得对于我来说最重要的就是亮点，一个是ART下的主动调用思路和设计，一个就是大佬的python修复脚本。首先大佬设计的自动化脱壳思路个人感觉是到目前为止完爆网上的那些dump的方案的脱壳思路的，其次，大佬给出的修复方案也是十分的巧妙的，我拿看雪上17年的数字的vmp加固的app，在dump下来onCreate函数体后，稍微套用下大佬的python修复脚本就修复了，真的是逆向必备。最后，再次感谢大佬的共享精神！ 2019-8-14 22:32 0
TinHsieh 雪币： 145 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	TinHsieh 81 楼膜拜...膜拜...膜拜... 2019-8-15 10:30 0
Mar.明雪币： 31 活跃值： (211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Mar.明 82 楼学习了，真的很详细，等我刷个6.0手机手动实现一遍 2019-9-5 16:09 0
Dovah_kiin 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Dovah_kiin 83 楼最近正在看加壳脱壳相关的技术，这个有点意思慢慢学吧谢谢大佬分享！！！！有些人ntm想偷技术想疯了吧,进群了又想白嫖,什么好处都给你了啊!!! 2019-9-18 16:12 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 84 楼我们可以看到ArtMethod类中的Invoke方法在jni中扮演着至关重要的地位。于是，我们可以构造出自己的invoke函数，在该函数中再调用ArtMethod的Invoke方法从而完成主动调用，并在ArtMethod的Invoke函数中首先进行判断，当发现是我们自己的主动调用时就进行方法体的dump并直接返回，从而完成对壳的欺骗，达到方法体的dump。如果壳通过开源代码自己写这个函数实现java层的调用，那么你这个方法就不能dump到任何原代码（smali代码）。 2019-9-26 14:58 0
hanbingle 雪币： 8269 活跃值： (4695) 能力值： ( LV8，RANK：134 ) 在线值：发帖 7 回帖 52 粉丝 759 关注私信	hanbingle 2 85 楼 tDasm 我们可以看到ArtMethod类中的Invoke方法在jni中扮演着至关重要的地位。于是，我们可以构造出自己的invoke函数，在该函数中再调用ArtMethod的Invoke方法从而完成主动调用，并 ... 对于ArtMethod这个类来说，不同的Android版本有着不同的定义。理论上来说，自己实现这个函数，是可以的，但是无论是从兼容性还是效率以及实现难度来说，这样做几乎是不可能的。或许你可以提供一个这样的样本发给我看看 2019-9-26 16:47 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 86 楼 hanbingle 对于ArtMethod这个类来说，不同的Android版本有着不同的定义。理论上来说，自己实现这个函数，是可以的，但是无论是从兼容性还是效率以及实现难度来说，这样做几乎是不可能的。或许你可以提供一个这 ... 你这个说法就有问题，既然利用开源代码，那么就等同于安卓原函数，不应该有你说的兼容性和效率问题。再说也不一定要全部实现只需要防止hook、修改就行。最后于 2019-9-26 17:09 被tDasm编辑，原因： 2019-9-26 17:09 0
kanxuexge 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	kanxuexge 87 楼 nexus5 刷了 ham 6.0 APOS rom，无法root。没看到data/fart 2019-10-4 20:54 0
kanxuexge 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	kanxuexge 88 楼你发的系统rom好像没法root 2019-10-4 21:03 0
ueoboy 雪币： 455 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	ueoboy 89 楼请问你提供的镜像x86目录里的 ramdisk.img 等文件怎么在vmware里引导 2019-10-10 12:39 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 90 楼有什么特征或者log表明脱壳已经完毕 2019-10-12 19:13 0
Lemonr 雪币： 14 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	Lemonr 91 楼 2019-11-6 21:09 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 92 楼映像文件太大，能不能提供编译好、修改过的几个文件而不是所有文件？ 2019-11-7 16:27 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 93 楼 .method protected onCreate(Landroid/os/Bundle;)V .locals 4 const v1, 0xa000001 const v3, 0x1 new-array v0, v3, [Ljava/lang/Object; const v3, 0x0 check-cast p1, Ljava/lang/Object; aput-object p1, v0, v3 invoke-static {v1, p0, v0}, Lcom/baidu/protect/A;->V(ILjava/lang/Object;[Ljava/lang/Object;)V return-void .end method 百度加固，使用了这个方法，能修复？ 2019-11-19 10:55 0
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 62 粉丝 1 关注私信	@=llfly 94 楼感谢分享，后排膜拜 2020-1-8 17:50 0
GDD零零雪币： 0 活跃值： (40) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	GDD零零 95 楼膜膜膜膜最后于 2020-1-26 13:07 被GDD零零编辑，原因： 2020-1-26 12:50 0
丧尽心雪币： 0 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	丧尽心 96 楼我觉得楼主分享这个很好，不知为什么会有人攻击，我自己看了一遍，里面说的很清楚是类抽取(VMP是VMP本身就不一样)，还是我看的时候帖子已经修改好了？还有人家群收费是人家的自由，你不喜欢就不要加。只想白嫖人家的群又诋毁人家是什么心态？这篇文章确实给我带来不少收获，希望楼主不要因为一些人而影响分享的精神。功能还没测试，待会儿虚拟机开起来改看看先 2020-2-10 15:45 0
xdnice 雪币： 1482 活跃值： (2528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	xdnice 97 楼膜拜一下。 2020-2-13 13:20 0
挤蹭菌衣雪币： 5235 活跃值： (3260) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 129 粉丝 122 关注私信	挤蹭菌衣 1 98 楼膜拜大佬，学习了 2020-2-19 17:52 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 99 楼能请教一下，fart工具配置文件，是什什么意思？ 2020-3-24 23:01 0
hasking 雪币： 344 活跃值： (314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	hasking 100 楼话说主动调用类的所有方法不会因为超时而崩溃吗。 2020-3-24 23:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复