[原创]一次对tx御安全的脱壳-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]一次对tx御安全的脱壳

发表于: 2021-6-21 18:53 21066

[原创]一次对tx御安全的脱壳

Dyingchen

2021-6-21 18:53

21066

那便开始处理：

首先获取一下基本信息

安装app运行起来使用frida dex dump进行脱壳

得到如下文件

发现有一摸一样大小的dex，发觉不对劲，用GDA打开

里面的方法都被抽取了，使用jeb验证一下

全部都是nop

这里说一下原理：抽取壳的原理其实就是将原来app dex里面的代码全部替换成nop保存起来，然后在需要调用的时候再填充回去，在app运行起来的时候进行dump是能够拿到一些完整的代码的，这些代码都是被调用过的，所以已经回填变成完整的了，但是我们不可能在用户操作界面把所有的方法都运行一遍，这个时候就需要主动调用式的脱壳机才能进行脱壳了

这里我使用了 https://bbs.pediy.com/thread-259854.htm 这个脱壳机

本来是用的fart，但是不知道为什么会出现脱壳过程中app闪退的情况，猜测可能是调用到了不该调用的方法

使用youpk进行脱壳得到dex

使用作者提供的脚本修复一下，再按照顺序对dex重命名之后直接覆盖到原app里面的dex

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2021-6-22 07:37 被Dyingchen编辑，原因：

#逆向分析 #脱壳反混淆

收藏・31

免费・9

支持

最新回复 (15)
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 2 楼不错哦，实际上脱壳你用Xposed环境就行，tx御安全为了兼容Xposed，会主动回填所有nop。 2021-6-21 22:18 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 3 楼 lhxdiao 不错哦，实际上脱壳你用Xposed环境就行，tx御安全为了兼容Xposed，会主动回填所有nop。还有这种说法的吗，因为我真机安卓版本比较高，弄xposed比较麻烦就没装，在模拟器上面启动app的时候被检测了，也就放弃了xp，兼容xp主动回填还是第一次听说 2021-6-21 22:36 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼楼主把样本发下，有时间也玩玩 2021-6-22 06:45 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 5 楼 Dyingchen 还有这种说法的吗，因为我真机安卓版本比较高，弄xposed比较麻烦就没装，在模拟器上面启动app的时候被检测了，也就放弃了xp，兼容xp主动回填还是第一次听说有的，之前有人分析过御安全，得出结论也是这样，御安全不是说检测到xposed不运行，而是为了兼容性（以前的淘宝为了兼容xposed，改了几个libart内几个类成员的偏移，而不是直接闪退），主动兼容xposed。 2021-6-22 16:58 0
柒晨雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	柒晨 6 楼 tx加固还挺良心 2021-6-23 13:43 0
mb_hgbbfgzh 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_hgbbfgzh 7 楼学习到了 2021-6-23 20:43 0
图灵真主护佑雪币： 4311 活跃值： (2662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	图灵真主护佑 8 楼请问大佬，查看apk加固信息的软件能介绍一下吗 2021-6-28 11:02 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 9 楼图灵真主护佑请问大佬，查看apk加固信息的软件能介绍一下吗 np管理器 2021-6-28 12:55 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 10 楼 mark 2021-6-28 18:45 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 11 楼那个修复工具，咋调用 2021-7-15 22:33 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 12 楼 mb_yvvzfcdo 那个修复工具，咋调用看作者原帖，有详细描述 2021-7-16 18:29 0
iamblackhat 雪币： 2448 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	iamblackhat 13 楼不错不错 2021-7-16 19:44 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 14 楼支持一下 2021-7-18 14:44 0
billery 雪币： 3287 活跃值： (750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	billery 15 楼学习了，感谢分享！ 2021-7-18 21:10 0
mb_ajgkdedt 雪币： 40 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_ajgkdedt 16 楼 mark 2023-6-6 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Dyingchen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 2 楼不错哦，实际上脱壳你用Xposed环境就行，tx御安全为了兼容Xposed，会主动回填所有nop。 2021-6-21 22:18 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 3 楼 lhxdiao 不错哦，实际上脱壳你用Xposed环境就行，tx御安全为了兼容Xposed，会主动回填所有nop。还有这种说法的吗，因为我真机安卓版本比较高，弄xposed比较麻烦就没装，在模拟器上面启动app的时候被检测了，也就放弃了xp，兼容xp主动回填还是第一次听说 2021-6-21 22:36 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼楼主把样本发下，有时间也玩玩 2021-6-22 06:45 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 5 楼 Dyingchen 还有这种说法的吗，因为我真机安卓版本比较高，弄xposed比较麻烦就没装，在模拟器上面启动app的时候被检测了，也就放弃了xp，兼容xp主动回填还是第一次听说有的，之前有人分析过御安全，得出结论也是这样，御安全不是说检测到xposed不运行，而是为了兼容性（以前的淘宝为了兼容xposed，改了几个libart内几个类成员的偏移，而不是直接闪退），主动兼容xposed。 2021-6-22 16:58 0
柒晨雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	柒晨 6 楼 tx加固还挺良心 2021-6-23 13:43 0
mb_hgbbfgzh 雪币： 237 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_hgbbfgzh 7 楼学习到了 2021-6-23 20:43 0
图灵真主护佑雪币： 4311 活跃值： (2662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	图灵真主护佑 8 楼请问大佬，查看apk加固信息的软件能介绍一下吗 2021-6-28 11:02 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 9 楼图灵真主护佑请问大佬，查看apk加固信息的软件能介绍一下吗 np管理器 2021-6-28 12:55 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 10 楼 mark 2021-6-28 18:45 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 11 楼那个修复工具，咋调用 2021-7-15 22:33 0
Dyingchen 雪币： 3161 活跃值： (5141) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 12 楼 mb_yvvzfcdo 那个修复工具，咋调用看作者原帖，有详细描述 2021-7-16 18:29 0
iamblackhat 雪币： 2448 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	iamblackhat 13 楼不错不错 2021-7-16 19:44 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 14 楼支持一下 2021-7-18 14:44 0
billery 雪币： 3287 活跃值： (750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	billery 15 楼学习了，感谢分享！ 2021-7-18 21:10 0
mb_ajgkdedt 雪币： 40 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_ajgkdedt 16 楼 mark 2023-6-6 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复