-
-
[原创]看雪3W4月第三题frida辅助尝试脱壳
-
发表于:
2020-6-10 18:16
12190
-
看雪培训脱壳4月第三题,爱加密的方法级别保护,方法的opcode被抽取后,替换成了一个静态方法,执行时调用静态方法修复opcode。
脱下来后发现是方法级别的保护,在ArtMethod::Invoke处方法还是没有修复。可以尝试在执行后或者在解释器中执行前拖opcode,我还没完全搞定。
解题过程:
拖进jdax看一下,爱加密
没有下载老师的脱壳机,先用手里的试试看。
看一下smali代码
判断这种应该是将inis拖出来后,替换成一个java方法,在代码执行时候使用H.i方法对inis进行修复。
下载fart尝试脱壳。
尝试使用frida对H.i函数进行直接调用。
既然直接调用不行,就使用frida主动调用每个函数,来尝试获取修复后的dex。
调用的时候出现了退出,查看后台报错,怀疑是有些特殊方法导致的退出,尝试添加类过滤。
增加的太多了,还是没有有效解决退出的问题,思考是否可以像老师教的那样通过阻断函数执行来解决问题。
通过查看源码。
分析到这里,基本就可以修改函数,炒一炒老师的代码,完成脱壳了,这部分就需要我修改源码了,慢慢改。
附上我写的完整的frida脚本,没有拖出来完整的dex。
寒冰大佬太强了, 提醒我在ArtMethod::Invoke中artmethod执行完之后,把opcode脱下来,可惜自己代码能力太弱了,一时半会也写不出来,慢慢来吧。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-6-10 18:16
被新萌编辑
,原因:
