首页
社区
课程
招聘
[原创]Android整体脱壳个人总结
发表于: 2020-11-7 12:10 10737

[原创]Android整体脱壳个人总结

2020-11-7 12:10
10737

个人对整体壳脱壳方法做了一些自己的总结,本人菜鸡一个,下面描述如果不对,欢迎指摘。

dex开头会有标志性标志dex035 /dex036/ dex037等关键标志

在dex偏移0x20处有4个字节存储dex的大小

比如

https://github.com/hluwa/FRIDA-DEXDump.git

核心原理就是在内存中暴力搜索dex035等标志去搜索和dump dex的

或者其他一些在IDA上使用的dump工具。

这类的方法基本上只能应对整体壳,针对类抽取壳,如果是恢复后就回填不再抽取出来的类型,就需要看时机了。

hook大法:通过frida、Xposed或者其他一些hook工具 hook 比如dalvik时代的dvmDexFileOpenPartial函数,

6.0和7.0的OpenMemory函数

8.0-10.0上的OpenCommon函数

在这些函数的参数中基本上都会有关于起始地址、dex文件大小的参数,作为关键参数,方便在逆向时dump出dex

比如

https://github.com/WrBug/dumpDex.git

工具使用Xposed结合Native hook的一些其他hook工具对APP进行注入和hook,最终实现dumpdex的效果

再比如

https://github.com/GuoQiang1993/Frida-Apk-Unpack.git

是使用frida 去hook以上所说这些函数进行hook进行dump

这些函数其实也是只能针对整体壳的方式去进行dex的dump

事实上正如寒冰老师所说,在Art时代由于DexFile对象类定义时,存在Begin()和Size()函数

实际上在任何包含DexFile类型参数的地方其实都可以

甚至于由于ArtMethod有获取对应DexFile的函数

那么其实在任何出现ArtMethod的地方其实都可以dump 出dex,只是脱壳点好与坏的问题

关于整体加固的方法,暂时就总结到这里,关于函数抽取类型的加密,目前公开的脱壳方法都是主动调用去解决的,这些方式基本上都是使用主动调用实现的。

这里就列出来源码以及对应文章吧

源码: DexHunter

具体原理

源码: FUPK3

原理介绍


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-11-7 12:15 被Simp1er编辑 ,原因:
收藏
免费 14
支持
分享
最新回复 (8)
雪    币: 10944
活跃值: (7329)
能力值: ( LV12,RANK:219 )
在线值:
发帖
回帖
粉丝
2
点赞
2020-11-8 08:41
0
雪    币: 916
活跃值: (3434)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
3

巧了,正好写了一个  :《深入 FRIDA-DEXDump 中的矛与盾》

最后于 2020-11-9 16:37 被葫芦娃编辑 ,原因:
2020-11-9 16:37
0
雪    币: 2914
活跃值: (4946)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
2020-11-9 19:20
0
雪    币: 1556
活跃值: (310)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
挺全的,找时间补点细节更好了
2020-11-10 08:50
0
雪    币: 1454
活跃值: (267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
666
2020-11-10 09:20
0
雪    币: 36
活跃值: (1061)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
mark
2020-11-10 14:00
0
雪    币: 235
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
2020-11-12 07:19
0
雪    币: 574
活跃值: (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
总结的很全面
2020-11-13 09:59
0
游客
登录 | 注册 方可回帖
返回
//