[原创]APP加固dex解密流程分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]APP加固dex解密流程分析

2024-2-22 04:44 21241

[原创]APP加固dex解密流程分析

oacia

2024-2-22 04:44

21241

查看主题内容

收藏・110

点赞・45

打赏

打赏 + 10.00雪花

万里星河

打赏次数 1

雪花 + 10.00

万里星河

+10.00

2024/02/27

如沐春风收益匪浅敬仰之情涛涛不绝

最新回复 (53) ◀ 1 2 3 ▶
fangliangz 雪币： 4119 活跃值： (2114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	fangliangz 2024-2-23 09:35 26 楼 0
gailium 雪币： 533 活跃值： (805) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	gailium 2024-2-23 15:03 27 楼 0 oncreate修复才是最难的，前面的都能想办法dump下来说
mb_bkkdeflr 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_bkkdeflr 2024-2-23 20:52 28 楼 0 感谢大佬分享
万里星河雪币： 62 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2024-2-23 21:47 29 楼 0 来回拜读了三遍关于主so的修复简直精彩绝伦如果dex的解密算法也搞出来了就是绝杀了
aizhiqun 雪币： 29 活跃值： (551) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aizhiqun 2024-2-23 22:29 30 楼 0 大佬太强了，看到的最详细的分析360加固的文章，感谢大佬分享，膜拜
Ally Switch 雪币： 3826 活跃值： (5083) 能力值： ( LV8，RANK：127 ) 在线值：发帖 5 回帖 102 粉丝 12 关注私信	Ally Switch 1 2024-2-26 10:49 31 楼 0 楼主很细
daxia200N 雪币： 662 活跃值： (1642) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2024-2-26 18:18 32 楼 0 只有膜拜了
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2024-2-28 17:26 33 楼 0 大佬们，在dump program_header时 0x38*0x6+0x20；这个地方 +0x20是什么意思
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-2-28 21:39 34 楼 0 wx_justght 大佬们，在dump program_header时 0x380x6+0x20；这个地方 +0x20是什么意思这里program header table的大小应该是0x380x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2024-2-29 17:54 35 楼 0 oacia 这里program header table的大小应该是0x38*0x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些[em_85][em_85][em_85] 感谢大佬
wx_wyx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wx_wyx 2024-3-1 14:02 36 楼 0 太强了。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2024-3-4 15:17 37 楼 0
Nameless_a 雪币： 6331 活跃值： (10554) 能力值： ( LV12，RANK：400 ) 在线值：发帖 38 回帖 52 粉丝 97 关注私信	Nameless_a 5 2024-3-5 12:43 38 楼 0 太强了
cpannn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cpannn 2024-3-5 21:01 39 楼 0 免费的都这们难，我手上的企业版，想都别想了。
mb_ihgczpkl 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ihgczpkl 2024-3-6 09:56 40 楼 0 大佬可以解释下为什么so静态分析没有导入导出表但是在内存里就有吗
seeeseee 雪币： 486 活跃值： (1682) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 55 关注私信	seeeseee 2024-3-6 10:14 41 楼 0 tql
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-3-6 19:12 42 楼 1 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直接将section段的内容全部都置为0 这样IDA会自己通过动态表找到对应的符号如图所示但是这样做会缺少一些信息,有的时候缺少的这类信息就是逆向的关键所在例如我们对dlopen进行交叉引用,发现只有一个交叉引用但是对于从内存中dump下来的壳elf来说,对于dlopen的交叉引用却有五个
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-3-9 02:39 43 楼 0 万里星河来回拜读了三遍关于主so的修复简直精彩绝伦如果dex的解密算法也搞出来了就是绝杀了今天看了一下dex的解密算法看起来应该是自定义的算法
vVv一雪币： 187 活跃值： (1068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 2024-3-9 08:38 44 楼 0 期待dex解密算法
mb_mzboxhri 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_mzboxhri 2024-3-13 11:08 45 楼 0 佬，jeb 脚本开发用的什么 IDE？我用 IDEA 的时候出现导包出现问题
caolinkai 雪币： 3663 活跃值： (3843) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 813 粉丝 1 关注私信	caolinkai 2024-3-13 14:55 46 楼 0 牛皮，感谢分享
mb_mzboxhri 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_mzboxhri 2024-3-14 18:57 47 楼 0 师傅 IDEA 开发 jeb 脚本时将 jeb.jar 导入到库后，在代码中导包提示找不到包错误怎么解决的？最后于 2024-3-14 18:58 被mb_mzboxhri编辑，原因：
medmi 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	medmi 2024-3-22 20:24 48 楼 0 短裤都脱没了
教教我吧~ 雪币： 158 活跃值： (786) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 23 粉丝 0 关注私信	教教我吧~ 2024-3-26 11:24 49 楼 0 强，学习了，感谢写的如此详细，期待更多精品内容！
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	mb_ldbucrik 2024-3-26 12:50 50 楼 0 期待dex解密内容
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

oacia

发帖

回帖

140

RANK

关注

私信

他的文章

[原创]APP加固dex解密流程分析

[原创]flutter逆向 ACTF native app

[原创]细品sec2023安卓赛题

[原创]将rwProcMem33编译进安卓内核

[原创]DASCTF 2023六月挑战赛二进制专项 RE writeup

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
fangliangz 雪币： 4119 活跃值： (2114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	fangliangz 2024-2-23 09:35 26 楼 0
gailium 雪币： 533 活跃值： (805) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	gailium 2024-2-23 15:03 27 楼 0 oncreate修复才是最难的，前面的都能想办法dump下来说
mb_bkkdeflr 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_bkkdeflr 2024-2-23 20:52 28 楼 0 感谢大佬分享
万里星河雪币： 62 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2024-2-23 21:47 29 楼 0 来回拜读了三遍关于主so的修复简直精彩绝伦如果dex的解密算法也搞出来了就是绝杀了
aizhiqun 雪币： 29 活跃值： (551) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aizhiqun 2024-2-23 22:29 30 楼 0 大佬太强了，看到的最详细的分析360加固的文章，感谢大佬分享，膜拜
Ally Switch 雪币： 3826 活跃值： (5083) 能力值： ( LV8，RANK：127 ) 在线值：发帖 5 回帖 102 粉丝 12 关注私信	Ally Switch 1 2024-2-26 10:49 31 楼 0 楼主很细
daxia200N 雪币： 662 活跃值： (1642) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2024-2-26 18:18 32 楼 0 只有膜拜了
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2024-2-28 17:26 33 楼 0 大佬们，在dump program_header时 0x38*0x6+0x20；这个地方 +0x20是什么意思
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-2-28 21:39 34 楼 0 wx_justght 大佬们，在dump program_header时 0x380x6+0x20；这个地方 +0x20是什么意思这里program header table的大小应该是0x380x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2024-2-29 17:54 35 楼 0 oacia 这里program header table的大小应该是0x38*0x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些[em_85][em_85][em_85] 感谢大佬
wx_wyx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wx_wyx 2024-3-1 14:02 36 楼 0 太强了。
mb_fdzmkugw 雪币： 742 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	mb_fdzmkugw 2024-3-4 15:17 37 楼 0
Nameless_a 雪币： 6331 活跃值： (10554) 能力值： ( LV12，RANK：400 ) 在线值：发帖 38 回帖 52 粉丝 97 关注私信	Nameless_a 5 2024-3-5 12:43 38 楼 0 太强了
cpannn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cpannn 2024-3-5 21:01 39 楼 0 免费的都这们难，我手上的企业版，想都别想了。
mb_ihgczpkl 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ihgczpkl 2024-3-6 09:56 40 楼 0 大佬可以解释下为什么so静态分析没有导入导出表但是在内存里就有吗
seeeseee 雪币： 486 活跃值： (1682) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 55 关注私信	seeeseee 2024-3-6 10:14 41 楼 0 tql
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-3-6 19:12 42 楼 1 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直接将section段的内容全部都置为0 这样IDA会自己通过动态表找到对应的符号如图所示但是这样做会缺少一些信息,有的时候缺少的这类信息就是逆向的关键所在例如我们对dlopen进行交叉引用,发现只有一个交叉引用但是对于从内存中dump下来的壳elf来说,对于dlopen的交叉引用却有五个
oacia 雪币： 3514 活跃值： (3986) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 43 粉丝 154 关注私信	oacia 2 2024-3-9 02:39 43 楼 0 万里星河来回拜读了三遍关于主so的修复简直精彩绝伦如果dex的解密算法也搞出来了就是绝杀了今天看了一下dex的解密算法看起来应该是自定义的算法
vVv一雪币： 187 活跃值： (1068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	vVv一 2024-3-9 08:38 44 楼 0 期待dex解密算法
mb_mzboxhri 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_mzboxhri 2024-3-13 11:08 45 楼 0 佬，jeb 脚本开发用的什么 IDE？我用 IDEA 的时候出现导包出现问题
caolinkai 雪币： 3663 活跃值： (3843) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 813 粉丝 1 关注私信	caolinkai 2024-3-13 14:55 46 楼 0 牛皮，感谢分享
mb_mzboxhri 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_mzboxhri 2024-3-14 18:57 47 楼 0 师傅 IDEA 开发 jeb 脚本时将 jeb.jar 导入到库后，在代码中导包提示找不到包错误怎么解决的？最后于 2024-3-14 18:58 被mb_mzboxhri编辑，原因：
medmi 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	medmi 2024-3-22 20:24 48 楼 0 短裤都脱没了
教教我吧~ 雪币： 158 活跃值： (786) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 23 粉丝 0 关注私信	教教我吧~ 2024-3-26 11:24 49 楼 0 强，学习了，感谢写的如此详细，期待更多精品内容！
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	mb_ldbucrik 2024-3-26 12:50 50 楼 0 期待dex解密内容
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复