-
-
[原创]Android整体脱壳个人总结
-
发表于:
2020-11-7 12:10
10737
-
个人对整体壳脱壳方法做了一些自己的总结,本人菜鸡一个,下面描述如果不对,欢迎指摘。
dex开头会有标志性标志dex035 /dex036/ dex037等关键标志
在dex偏移0x20处有4个字节存储dex的大小
比如
https://github.com/hluwa/FRIDA-DEXDump.git
核心原理就是在内存中暴力搜索dex035等标志去搜索和dump dex的
或者其他一些在IDA上使用的dump工具。
这类的方法基本上只能应对整体壳,针对类抽取壳,如果是恢复后就回填不再抽取出来的类型,就需要看时机了。
hook大法:通过frida、Xposed或者其他一些hook工具 hook 比如dalvik时代的dvmDexFileOpenPartial函数,
6.0和7.0的OpenMemory函数
8.0-10.0上的OpenCommon函数
在这些函数的参数中基本上都会有关于起始地址、dex文件大小的参数,作为关键参数,方便在逆向时dump出dex
比如
https://github.com/WrBug/dumpDex.git
工具使用Xposed结合Native hook的一些其他hook工具对APP进行注入和hook,最终实现dumpdex的效果
再比如
https://github.com/GuoQiang1993/Frida-Apk-Unpack.git
是使用frida 去hook以上所说这些函数进行hook进行dump
这些函数其实也是只能针对整体壳的方式去进行dex的dump
事实上正如寒冰老师所说,在Art时代由于DexFile对象类定义时,存在Begin()和Size()函数
实际上在任何包含DexFile类型参数的地方其实都可以
甚至于由于ArtMethod有获取对应DexFile的函数
那么其实在任何出现ArtMethod的地方其实都可以dump 出dex,只是脱壳点好与坏的问题
关于整体加固的方法,暂时就总结到这里,关于函数抽取类型的加密,目前公开的脱壳方法都是主动调用去解决的,这些方式基本上都是使用主动调用实现的。
这里就列出来源码以及对应文章吧
源码: DexHunter
具体原理
源码: FUPK3
原理介绍
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-11-7 12:15
被Simp1er编辑
,原因: