首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[原创]Youpk: 又一款基于ART的主动调用的脱壳机
发表于: 2020-5-31 00:04 59521

[原创]Youpk: 又一款基于ART的主动调用的脱壳机

Youlor 活跃值
2020-5-31 00:04
59521

Youpk是一款针对Dex整体加固+各式各样的Dex抽取的脱壳机

基本流程如下:

DEX文件在art虚拟机中使用DexFile对象表示, 而ClassLinker中引用了这些对象, 因此可以采用从ClassLinker中遍历DexFile对象并dump的方式来获取.

另外, 为了避免dex做任何形式的优化影响dump下来的dex文件, 在dex2oat中设置 CompilerFilter 为仅验证

创建脱壳线程

在脱壳线程中遍历DexFile的所有ClassDef

解析并初始化Class

主动调用Class的所有Method, 并修改ArtMethod::Invoke使其强制走switch型解释器

在解释器中插桩, 在每条指令执行前设置回调

在回调中做针对性的CodeItem的dump, 这里仅仅是简单的示例了直接dump, 实际上, 针对某些厂商的抽取, 可以真正的执行几条指令等待CodeItem解密后再dump

将dump下来的CodeItem填充到DEX的相应位置中即可. 主要是基于google dx工具修改.

FUPK3: https://bbs.pediy.com/thread-246117.htm

FART: https://bbs.pediy.com/thread-252630.htm

该工具仅仅用来学习交流, 请勿用于非法用途, 否则后果自付!

配置待脱壳的app包名, 准确来讲是进程名称

启动apk等待脱壳
每隔10秒将自动重新脱壳(已完全dump的dex将被忽略), 当日志打印unpack end时脱壳完成

pull出dump文件, dump文件路径为 /data/data/包名/unpacker

调用修复工具 dexfixer.jar, 两个参数, 第一个为dump文件目录(必须为有效路径), 第二个为重组后的DEX目录(不存在将会创建)

仓库地址: 755K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6&6L8%4g2D9L8%4u0Q4x3V1k6#2L8Y4m8S2j5$3E0W2M7R3`.`.

 
//unpacker.cc
std::list<const DexFile*> Unpacker::getDexFiles() {
  std::list<const DexFile*> dex_files;
  Thread* const self = Thread::Current();
  ClassLinker* class_linker = Runtime::Current()->GetClassLinker();
  ReaderMutexLock mu(self, *class_linker->DexLock());
  const std::list<ClassLinker::DexCacheData>& dex_caches = class_linker->GetDexCachesData();
  for (auto it = dex_caches.begin(); it != dex_caches.end(); ++it) {
    ClassLinker::DexCacheData data = *it;
    const DexFile* dex_file = data.dex_file;
    dex_files.push_back(dex_file);
  }
  return dex_files;
}
//unpacker.cc
std::list<const DexFile*> Unpacker::getDexFiles() {
  std::list<const DexFile*> dex_files;
  Thread* const self = Thread::Current();
  ClassLinker* class_linker = Runtime::Current()->GetClassLinker();
  ReaderMutexLock mu(self, *class_linker->DexLock());
  const std::list<ClassLinker::DexCacheData>& dex_caches = class_linker->GetDexCachesData();
  for (auto it = dex_caches.begin(); it != dex_caches.end(); ++it) {
    ClassLinker::DexCacheData data = *it;
    const DexFile* dex_file = data.dex_file;
    dex_files.push_back(dex_file);
  }
  return dex_files;
}
//dex2oat.cc
compiler_options_->SetCompilerFilter(CompilerFilter::kVerifyAtRuntime);
//dex2oat.cc
compiler_options_->SetCompilerFilter(CompilerFilter::kVerifyAtRuntime);
//unpacker.java
public static void unpack() {
    if (Unpacker.unpackerThread != null) {
        return;
    }
 
    //开启线程调用
    Unpacker.unpackerThread = new Thread() {
        @Override public void run() {
            while (true) {
                try {
                    Thread.sleep(UNPACK_INTERVAL);
                }
                catch (InterruptedException e) {
                    e.printStackTrace();
                }
                if (shouldUnpack()) {
                    Unpacker.unpackNative();
                }  
            }
        }
    };
    Unpacker.unpackerThread.start();
}
//unpacker.java
public static void unpack() {
    if (Unpacker.unpackerThread != null) {
        return;
    }
 
    //开启线程调用
    Unpacker.unpackerThread = new Thread() {
        @Override public void run() {
            while (true) {
                try {
                    Thread.sleep(UNPACK_INTERVAL);
                }
                catch (InterruptedException e) {
                    e.printStackTrace();
                }
                if (shouldUnpack()) {
                    Unpacker.unpackNative();
                }  
            }
        }
    };
    Unpacker.unpackerThread.start();
}
//unpacker.cc
for (; class_idx < dex_file->NumClassDefs(); class_idx++) {
//unpacker.cc
for (; class_idx < dex_file->NumClassDefs(); class_idx++) {
//unpacker.cc
mirror::Class* klass = class_linker->ResolveType(*dex_file, dex_file->GetClassDef(class_idx).class_idx_, h_dex_cache, h_class_loader);
StackHandleScope<1> hs2(self);
Handle<mirror::Class> h_class(hs2.NewHandle(klass));
bool suc = class_linker->EnsureInitialized(self, h_class, true, true);
//unpacker.cc
mirror::Class* klass = class_linker->ResolveType(*dex_file, dex_file->GetClassDef(class_idx).class_idx_, h_dex_cache, h_class_loader);
StackHandleScope<1> hs2(self);
Handle<mirror::Class> h_class(hs2.NewHandle(klass));
bool suc = class_linker->EnsureInitialized(self, h_class, true, true);
//unpacker.cc
uint32_t args_size = (uint32_t)ArtMethod::NumArgRegisters(method->GetShorty());
if (!method->IsStatic()) {
    args_size += 1;
}
 
JValue result;
std::vector<uint32_t> args(args_size, 0);
if (!method->IsStatic()) {
    mirror::Object* thiz = klass->AllocObject(self);
    args[0] = StackReference<mirror::Object>::FromMirrorPtr(thiz).AsVRegValue(); 
}
method->Invoke(self, args.data(), args_size, &result, method->GetShorty());
 
//art_method.cc
if (UNLIKELY(!runtime->IsStarted() || Dbg::IsForcedInterpreterNeededForCalling(self, this)
|| (Unpacker::isFakeInvoke(self, this) && !this->IsNative()))) {
if (IsStatic()) {
art::interpreter::EnterInterpreterFromInvoke(
self, this, nullptr, args, result, /*stay_in_interpreter*/ true);
} else {
mirror::Object* receiver =
reinterpret_cast<StackReference<mirror::Object>*>(&args[0])->AsMirrorPtr();
art::interpreter::EnterInterpreterFromInvoke(
self, this, receiver, args + 1, result, /*stay_in_interpreter*/ true);
}
}
 
//interpreter.cc
static constexpr InterpreterImplKind kInterpreterImplKind = kSwitchImplKind;
//unpacker.cc
uint32_t args_size = (uint32_t)ArtMethod::NumArgRegisters(method->GetShorty());
if (!method->IsStatic()) {
    args_size += 1;
}
 
JValue result;
std::vector<uint32_t> args(args_size, 0);
if (!method->IsStatic()) {
    mirror::Object* thiz = klass->AllocObject(self);
    args[0] = StackReference<mirror::Object>::FromMirrorPtr(thiz).AsVRegValue(); 
}
method->Invoke(self, args.data(), args_size, &result, method->GetShorty());
 
//art_method.cc

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-5-31 13:41 被Youlor编辑 ,原因: 开源
收藏
免费 34
支持
分享
最新回复 (63)
上海刘一刀
雪    币: 977
活跃值: (450)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
2
膜  大佬666666666666666666666666666666666
2020-5-31 00:06
0
伟叔叔
雪    币: 3056
活跃值: (162479)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
学习了
2020-5-31 00:07
0
pureGavin
雪    币: 16374
活跃值: (19774)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
4
mark,楼主辛苦了
2020-5-31 00:26
0
hpphpp
雪    币: 226
活跃值: (1874)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
插眼,学习
2020-5-31 00:37
0
roysue
雪    币: 3907
活跃值: (6181)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
6

试了下,案例来自此文中的aipao.apk,FART最终的效果是可以看Smali,这个Youpk可以直接回填到dex,用jadx直接打开就行:
见图片:

2020-5-31 09:59
2
Buu
雪    币: 4057
活跃值: (352)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
7

大佬牛逼

最后于 2020-5-31 12:37 被Buu编辑 ,原因:
2020-5-31 12:37
0
bluegatar
雪    币: 136
活跃值: (3688)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
刷机包没必要刷bootlloader和radio啊,可以把包再精简下
2020-5-31 13:54
0
TopDbg
雪    币: 1634
活跃值: (288)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
思路清晰,感谢分享!
2020-5-31 15:51
0
黑色刺客
雪    币: 0
活跃值: (379)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
请问下模拟器能刷么
2020-5-31 20:08
0
hanbingle
雪    币: 8288
活跃值: (4792)
能力值: ( LV8,RANK:134 )
在线值:
发帖
回帖
粉丝
私信
11
思路清晰,给你点赞,对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump,比如我在看雪高研班上给的那个自解密的样本
2020-5-31 20:21
1
Youlor
雪    币: 2990
活跃值: (117491)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
黑色刺客 请问下模拟器能刷么
不能, 目前只有pixel 1代的刷机包
2020-5-31 20:58
0
Youlor
雪    币: 2990
活跃值: (117491)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
hanbingle 思路清晰[em_63],给你点赞,对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump,比如我在看雪高研班上给的那个自解密的样本
嗯嗯, 我看到那个特殊抽取壳的帖子, 发现和之前分析过的najia的一个样本比较像, 都是goto到解密再goto到解密后的原指令, 所以就一并处理了下
2020-5-31 21:00
0
一颗金柚子
雪    币: 2965
活跃值: (2090)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
14
思路值得学习,目前已经将楼主的方法复现成功,确实可以脱下来大部分壳,不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢?
2020-6-1 10:00
0
Czhiqiang
雪    币: 283
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
一颗金柚子 思路值得学习,目前已经将楼主的方法复现成功,确实可以脱下来大部分壳,不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢?


最后于 2020-6-1 10:29 被Czhiqiang编辑 ,原因:
2020-6-1 10:28
0
Youlor
雪    币: 2990
活跃值: (117491)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
一颗金柚子 思路值得学习,目前已经将楼主的方法复现成功,确实可以脱下来大部分壳,不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢?
当前是根据ins_count, opcode一起作为特征的
2020-6-1 10:35
0
tDasm
雪    币: 16666
活跃值: (7983)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
修改的源码都贴出来了?让大家完整学习一下。
2020-6-1 11:19
0
挤蹭菌衣
雪    币: 5244
活跃值: (3269)
能力值: ( LV10,RANK:175 )
在线值:
发帖
回帖
粉丝
私信
18
tql
2020-6-1 19:17
0
jack.zhang
雪    币: 866
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
19
虽然,思路有点不清晰 对art主动调用;但是还是任务 
2020-6-2 09:26
0
莫灰灰
雪    币: 2590
活跃值: (2585)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
私信
20
学习了~
2020-6-2 10:43
0
lrzhao
雪    币: 969
活跃值: (1239)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
OnCreate 抽取的可以吗?试了一下 还是 public native void onCreate(Bundle bundle);
2020-6-2 15:27
0
又见飞刀z
雪    币: 1595
活跃值: (2624)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
22
bluegatar 刷机包没必要刷bootlloader和radio啊,可以把包再精简下
我感觉直接一个整体挺好的,一键刷入多方便
2020-6-2 17:21
0
D-t
雪    币: 5894
活跃值: (5752)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
D-t
23
lrzhao OnCreate 抽取的可以吗?试了一下 还是 public native void onCreate(Bundle bundle);

你这是vmp吧 这个帖子说的很清楚 针对整体和抽取填抗的类型 不支持被v掉的代码

最后于 2020-6-2 19:45 被D-t编辑 ,原因: 1
2020-6-2 19:44
0
lrzhao
雪    币: 969
活跃值: (1239)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
那是我跨服聊天了
2020-6-2 21:21
0
笑对VS人生
雪    币: 405
活跃值: (2478)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
厉害啦
2020-6-4 08:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回