首页
社区
课程
招聘
[原创]Java层混淆加密对抗/某个辣眼睛的APP混淆还原
发表于: 2019-8-1 11:37 8072

[原创]Java层混淆加密对抗/某个辣眼睛的APP混淆还原

2019-8-1 11:37
8072

0x00

拿到一个xposed模块,注册功能挺有意思的,准备分析一下。然后。


这可真是。。。 辣眼睛

文件名类命名成员名方法名,名名王八蛋

字符流调用流加密流解密流,流流恶我心

注册的分析就先放放吧,首先一股脑还原这些混淆,这里出现了名称加密和字符串加密。


0x01

对于字符串加密,之前在github找到一个还原这种混淆的工具(https://github.com/CalebFenton/dex-oracle)。


作者CalebFenton有个巧妙的想法,中间的处理环节将smali文件抽取为由符号签名和参数所组成的待执行队列,和驱动类共同制作出一个可以用于单元测试的DEX文件,然后推送到手机上通过app_process执行,最后查看返回值就可以得到解密的字符串。


原作者是基于Linux来编写一系列脚本的,楼主实际运行的时候处于Windows平台,顺便做了些兼容性处理和BUG问题修复。

https://github.com/DXCyber409/dex-oracle

①修复驱动层Exception泄露,该BUG会导致driver层轻易罢工。

②去除脚本层对运行结果的僵硬检测,该BUG会导致脚本层轻易罢工。

③增加了patch/win目录下的Windows运行小脚本。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 1144
活跃值: (1254)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
https://bbs.pediy.com/thread-252769.htm 这个帖子里也提到了一个 去混淆的方法,你试一下用你这个脚本可以吗
最后于 2019-8-1 13:24 被seandong编辑 ,原因:
2019-8-1 13:23
0
雪    币: 102
活跃值: (2030)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
mark
2019-8-1 21:28
0
雪    币: 731
活跃值: (301)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我测试的bytes 不行,楼上的那个也不行。 各位有更好的方案一起探讨呀,q35068264 另外楼主的这个git不能发提问么,我想问一下可以提供一下你这个demo么,我看看能再哪些demo上成功
最后于 2019-8-2 16:54 被情迁编辑 ,原因:
2019-8-2 16:53
0
游客
登录 | 注册 方可回帖
返回
//