Android 加壳与脱壳方式总结
发布时间:2022-12-09 11:08:09 所属栏目:Asp教程 来源:
导读: 介绍
说到加壳,之前接触的主要都是pc端的壳,当时的脱壳就是用的esp脱壳法,大概意思就是程序运行到将当前环境保存之后,在当前的esp指向的地址下硬件断点,然后再次运行到该点时,进行dump内存,即可(
说到加壳,之前接触的主要都是pc端的壳,当时的脱壳就是用的esp脱壳法,大概意思就是程序运行到将当前环境保存之后,在当前的esp指向的地址下硬件断点,然后再次运行到该点时,进行dump内存,即可(
|
介绍 说到加壳,之前接触的主要都是pc端的壳,当时的脱壳就是用的esp脱壳法,大概意思就是程序运行到将当前环境保存之后,在当前的esp指向的地址下硬件断点,然后再次运行到该点时,进行dump内存,即可(大概意思,好多年没弄过了,网上资料很多反正)。这个时通常的加密或者压缩壳的方式,还有类似vmprotect的虚拟机壳,就是用其他指令代替原有的指令从而达到反调试的技术。这个没研究过怎么破解,还有代码抽取技术,将部分关键代码抽取出来,具体也没了解过。。当时学的太粗浅了。现在主要搞Android方面的,看了非虫的新书,所以这里做个总结,首先介绍一下常见的壳的识别: 可以使用类似peid的工具,对文件的二进制进行识别,Android中工具是:apkid 需要安装yara,使用pip install apkid后, 命令行执行:$ apkid 文件名 即可得到编译类型以及所加的壳。 压缩壳、加密壳: 这种第一代,开始时对dex和so加密,运行时或者加载后解密,通常会加一些反调试手段。 破解方式: hook法: 直接hook dex2oat的函数,可以得到原始的dex,但是有些apk不再走系统默认的dex2oat函数了 缓存脱壳法: 早期会有一些壳asp压缩壳,安装包是加密压缩了,但是安装后会在/data/dalvik-cache目录下生成解密的odex文件,只要取出来进行一下deodex即可。 内存dump法: 在运行后,dump出文件内容。工具是:android-unpacker 原理即通过/proc/pid/maps的内存映射表,找到dex起始位置,通过dump_memory()将dex dump出来。 动态调试脱壳法: 通过适当的点,在dex解密后dump,适当的点包括:dvmdexfileopenpartial;dexFileParse;memcpy(当第二个参数为DEX_OPT_MAGIC)时,并且这是一个不断更新的过程。之前还看过四哥写的一个函数是Dexclassloader hook脱壳法: 其实原理就是动态调试,只是通过hook框架自动化实现了。 系统定制法: 修改android源码中的相关函数后刷机实现,也是一种自动化 指令抽取壳: 部分方法需要执行时动态解密。 防脱壳方式: 设置一些虚假函数,一旦调用自动退出程序 破解方式: FART:针对art模式,调用所有方法后抽取dex dalvik:f8left可破解,但是dalvik很多应用以及无法安装 保护壳: 多种方式保护,如代码抽取、执行前后解密又加密、多进程保护、反调试、反dump等 破解方式: 内存重组脱壳法: 通过内存中dex文件的格式,找到完整的dex文件,将其组合到一起。主要流程:libdvm.so->gDvm->userDexFiles->pEntries.isDex->pRawDexFile->pDvmDex->pDexFile。工具参照Cvvt编写的dumpDex脚本 hook方式: 还是实现自动化的方式,断点为dvmCallMethodV; 系统定制法: 这里为了让所有代码全部解密,主动加载所有类,而后就变为全解密的dex了,通过dvmDefineClass实现,工具为DexHunter。 虚拟执行壳: llvm pass 混淆壳,360壳就采用这种方式 类似vmprotect,大概有三种混淆方式: 1:指令替代:使用新的汇编级指令代替原有指令,造成逆向的困难,如a + b可替代为 (a|b)+(a&b)等; 2:控制流平坦化 3:伪造控制流 还有修改控制流、伪造控制流等方式。 Android中使用的方式是llvm编译,开源库为:Obfuscator-LLVM 破解方式: 如上a+b,可以替换为多种指令,可以使用模式匹配的方式还原。 针对控制流修改,通过对比CFG,修改bl指令的执行。 (编辑:百客网 - 域百科网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐