当前位置: 首页 > news >正文

【胖虎的逆向之路】03——Android一代壳脱壳办法罗列实操

【胖虎的逆向之路】03——Android脱壳办法罗列&脱壳原理详解

【胖虎的逆向之路】01——动态加载和类加载机制详解
【胖虎的逆向之路】02——Android整体加壳原理详解&实现


文章目录

  • 【胖虎的逆向之路】03——Android脱壳办法罗列&脱壳原理详解
  • 前言
  • 一、主流脱壳方法
    • 1.工具脱壳法
      • 1) Frida-DexDump
      • 2) Fart
      • 3) Youpk
      • 4) 常用脱壳工具对比
    • 2.Hook脱壳法
    • 3.插桩脱壳法
    • 4.插桩脱壳法
    • 5.动态调试脱壳法
    • 6.特殊API调试法
  • 二、实验总结
  • 三、参考文献


前言

在上文中,我们讲解了关于Android整体加壳的原理和实际操作,现在我们来针对目前主流的脱壳工具以及流程进行讲解,由于作者能力有限,会尽力的详细描述 整体壳脱壳 的流程及原理,如本文中有任何错误,烦请指正,感谢~


一、主流脱壳方法

在这里插入图片描述

1.工具脱壳法

工具脱壳是指的利用现有的工具进行脱壳,很多的大佬已经开发了很多实用的工具,我们可以直接搞来使用(嘻嘻嘻)~

1) Frida-DexDump

得益于Frida, 在电脑上面进行内存搜索、转储的时候都变得十分方便,不再去通过繁琐的Xposed代码来获取Dex中对应的类与方法,仅需要关注如何去搜索想要的函数即可,对于完整的 dex,采用暴力搜索 dex035 即可找到。而对于抹头的 dex,通过匹配一些特征来找~

  • 支持模糊搜索断头dex(深度搜索模式)。
  • 兼容所有安卓版本(支持frida)。
  • 一键安装,无需修改系统,易于部署和使用

项目地址: https://github.com/hluwa/FRIDA-DEXDump

使用方法也变得简单很多,在这里借助一个大佬的使用流程图,可以快速进行脱壳
在这里插入图片描述

我们简单演示一下,这里结合objection一起使用
在这里插入图片描述
然后再次打开脱下来的dex,即可~

ps:获取到dex后,推荐使用Jadx进行反编译,dex2jar有点过时了…

另外附上深度介绍: 深入 FRIDA-DEXDump 中的矛与盾

2) Fart

Fart 的制作过程略显繁琐,主要是FART的代码是通过修改少量Android源码文件而成的,经过修改的Android源码编译成系统镜像,刷入手机,这样的手机启动后,针对Apk可以进行脱壳~
基于此,我更愿意称之为是脱壳鸡,因为是把经过修改的Android源码编译成了系统镜像,刷入了手机~

官方介绍:
ART环境下基于主动调用的自动化脱壳方案,基于Android 6.0实现,理论上可以移植到任何系统上~

项目地址:https://github.com/hanbinglengyue/FART

具体的实现原理和步骤在看雪:

  • 拨云见日:安卓APP脱壳的本质以及如何快速发现ART下的脱壳点
  • FART正餐前甜点:ART下几个通用简单高效的dump内存中dex方法
  • FART:ART环境下基于主动调用的自动化脱壳方案

脱壳流程:

1、安装待脱壳apk,并到设置中授予sd卡读写权限(否则dump下的文件无法写入到sdcard)

2、点击app图标,开始进入fart脱壳过程

接下来可以对logcat中的tag为ActivityThread的log进行过滤,等待待脱壳app进程出现"fart run over",此时fart主动调用过程结束。脱壳下来的

dex文件和函数体bin文件均在/sdcard/fart/app包名的目录下~

下面截图为fart的运行流程和脱壳结果
在这里插入图片描述

在这里插入图片描述

官方Ps:添加frida版的fart的两种不同实现,各有特色。可以实现具体到对某一个类下的所有函数甚至是对某一个函数的CodeItem的dump。需要的可以去体验下其强大的脱壳能力。(注意,测试环境为pixel Android8.0,frida-server 12.8.0)

在这里插入图片描述

3) Youpk

Youpk基于ART的主动调用的脱壳机,主要针对dex整体加固和各式各样的dex抽取加固,但是目前 Youpk 只支持 pixel 1代。所以必须需要 pixel 1代手机,而且需要刷入对应的系统~

基本流程如下:

  1. 从内存中dump DEX
  2. 构造完整调用链, 主动调用所有方法并dump CodeItem
  3. 合并 DEX, CodeItem

项目地址:https://github.com/youlor/unpacker

在该地址中,有较多的流程及方法、注意问题等,有需要的可以去看一哈

4) 常用脱壳工具对比

在这里插入图片描述

2.Hook脱壳法

我们上面有写到,只要函数中包含DexFile对象,其实就可以通过Hook拿到该对象,然后取到begin和size,从而进行脱壳,目前使用较多的Hook框架是Xposed和frida两种,感觉Frida使用人数较多也方便,在这里用frida进行演示~

首先使用GDA识别加壳程序~
在这里插入图片描述
看起来很明显是进行了整体加壳,有没其他加壳暂时不知道,我们先进行脱壳处理

首先找到脱壳点~

通过IDA打开libart.so,搜索DexFile,我们可以找到海量的脱壳点
在这里插入图片描述

然后我们编写hook脚本

在这里插入图片描述

这里之所以获取begin加上一个指针,是因为我们前面讲了dexfile含有一个虚函数地址,所以加上一个指针偏移

然后在手机中启动frida_server
在这里插入图片描述
附加进程进行dump,这里我们存在sdcard下面,所以需要提前赋予读写文件权限

在这里插入图片描述
从图中可以看得出来,到这里就已经脱壳成功~
在这里插入图片描述
然后使用jadx打开对应的dex,进行查看
在这里插入图片描述

此时说明我们整体脱壳成功,不过应用看起来还有抽取壳,抽取壳后续会单开一篇文章进行记录~

3.插桩脱壳法

插桩脱壳法,就是在Android源码里面定位到相应的脱壳点,然后插入相应的代码,重新编译源码生成系统镜像,最后就可以使用定制的系统进行脱壳~

其原理感觉跟youpk比较像,如何编译源码不再进行赘述,有需要的小伙伴可以看下这篇文章~
源码编译(1)——Android6.0源码编译详解

那么还是借助大佬已经完成的图片进行讲解,同理、还是定位脱壳点,我们还是随便定位一个脱壳点LoadMethod 然后进行插桩
在这里插入图片描述

//add
char dexfilepath[100]=0;
memset(dexfilepath,0,100);
sprintf(dexfilepath,"%d_%zu_LoadMethod.dex",getpid(),dex_file.Size());
int dexfd = open(dexfilepathm,O_CREAT|O_RDWR,666);
if(dexfd>0){
    int result = write(dexfd,dex_file.Begin(),dex_file.Size());
    if(result>0){
        close(dexfd);
        LOG(WARNING)<<"LoadMethod"<<dexfilepath;
    }
 
}
//add

同理我们在execute同样插桩此段代码,最后进行编译,编译成功

在这里插入图片描述
然后给程序授权sdcard权限,再次启动应用,就可以看见脱取的dex文件就保存在sdcard目录下

然后在使用jadx,打开dex,就会得到跟上面一样的结果~

在这里插入图片描述
Ps:由于该方法需要进行Android源码修改编译,本文作者没有进行实现,若有任何问题欢迎随时沟通(有问题了我再去编译)

4.插桩脱壳法

反射脱壳我自己的理解是利用反射得到一系列的classloader,最后得到DexFile结构,然后获取变量mCookie&mFileName这两个属性后,得到dexFile内存指针,然后该指针转换为dexfile,再通过findClassDef来匹配寻找的dex,最后dump写入文件~
借助前人的总结,流程如下:

在这里插入图片描述
那么还是做一下演示~
mCookie是在native层的dexfile的指针,然后我们利用反射原理来获取到mCookie,就可以进行脱壳了,在这里还是使用frida进行代码演示~

编写hook代码ing

在这里插入图片描述
打印出相关值

在这里插入图片描述
就可以看到相同大小的dex
在这里插入图片描述

然后使用jadx打开,发现同样的界面又出现了!

在这里插入图片描述

5.动态调试脱壳法

动态调试法,其核心原理还是要得到DexFile的起始地址和大小,不过所有的方式不同, 如果说上面是针对代码做修改得到一些值,那么接下来就是利用IDA工具获取对应的起始地址和大小,然后再通过脚本进行dump~

请欣赏!
首先选一个脱壳点,我们还是选择DexFile::DexFile
在这里插入图片描述
然后手机启动android_servcer,记得要以Root启动
在这里插入图片描述
然后使用IDA进行附加进程
在这里插入图片描述

在这里插入图片描述

然后ida开始介入
在这里插入图片描述
然后我们打开libart.so,并定位到DexFile::DexFile

在这里插入图片描述
然后在该函数下断点,然后F9过来看一哈

在这里插入图片描述
在这里就可以很明显看到X1就是DexFile的起始地址,X4是偏移值

然后利用Frida进行dump~

在这里插入图片描述
直接运行run即可
在这里插入图片描述
然后使用gda查看本地的dump.dex文件

在这里插入图片描述
在这里插入图片描述

可以发现这里竟然是代理类,对比大小不是我们想要的dex,再来一遍F9,可以看到地址再次改变,再次结合长度来计算,试了几次还是没有出来,后来就没有在进行了,不过感觉是可以得出来的,作为演示没有废太多的功夫~

6.特殊API调试法

特殊API调试意思是指的通过Android系统提供的API方法,来获取Dex,在Android 7.0 及以下系统提供了getDex及getBytes这两个API,所以如果我们想要获取对象,可以直接调用这两个API~

在这里插入图片描述
在这里插入图片描述

但是在实际测试中,发现在Android 高版本中Dex的getBytes方法依然存在,但是核心的Class类中的getDex方法已经消失不见了~

编写hook代码:

在这里插入图片描述

操作流程:

在这里插入图片描述
然后我们查看程序的类对象,随便dump一个类对象

在这里插入图片描述
在这里插入图片描述
得到dex之后,我们再次使用jadx工具打开~

在这里插入图片描述

发现就可以成功的dump~

二、实验总结

本文总结了当下dex整体加壳的常用的一些脱壳方案,并进行复现,但是在这里仅作为实验加深自己的理解为主(目前也不会这么简单的就可以拿到源Dex)但是有兴趣的朋友可以像我一样去把整个流程走一遍,加深自己的理解~

三、参考文献

https://bbs.kanxue.com/thread-273293.htm#msg_header_h2_6

文中所述图片部分取自该文章,栓Q~

相关文章:

  • 做网站硬件/行业数据统计网站
  • 南阳集团网站建设/重庆seo网站排名
  • 网盘做扩大网站服务器/seo优化或网站编辑
  • 网站设计尺寸/互联网广告投放代理公司
  • b站推广入口2023年/站内关键词自然排名优化
  • 自由设计师网站/佛山企业用seo策略
  • vue-element-admin前端搭建学习笔记
  • 第18章 配置文件的自动新建及其覆盖性写入
  • 【Linux】基础:进程间通信
  • 五个了解自己天赋优势的分析工具(四)MBTI测试
  • 卫星通信系统各个工作频段
  • Vuex模块化
  • php 安装curl扩展支持sftp协议
  • MobaXterm连接出现 Network error: Connection timed out 问题解决
  • 6.8 酉空间
  • 【JS】快速入门DOM
  • 十五天学会Autodesk Inventor,看完这一系列就够了(三),拉伸命令
  • Python学习笔记-网络爬虫基础