android脱壳之DexExtractor原理分析

导语:

上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点:

1.  需要动态调试

2.  对抗反调试方案

为了提高工作效率, 我们不希望把宝贵的时间浪费去和加固的安全工程师去做对抗。作为一个高效率的逆向分析师, 笔者是忍不了的,所以我今天给大家带来一种的新的脱壳方法——DexExtractor脱壳法。

资源地址:

DexExtractor源码:https://github.com/bunnyblue/DexExtractor

DexExtractor脱壳原理

1. 一个DEX文件需要被解析成Dalivk虚拟机能操作对象DvmDex, 解析过过程中就必须调用 DexFile* dexFileParse(const u1* data, size_t length, int flags)。

2.   dexFileParse 函数原型如下:

DexFile* dexFileParse(const u1* data, size_t length, int flags)

data  :文件就是DEX文件经过优化后再内存中数据的首地址。

length:文件就是DEX文件经过优化后再内存中数据的长度。

3.  DexExtracctor就是重写 dexFileParse函数,在原函数实现基础上,将内存中DEX文件中数据经过Base64加密,写到移动设备的SD卡

4.  使用Base64加密是为了对有些加固代码,对read.write 函数进行hook。

原理分析:

根据上篇日志《android 脱壳 之 dvmDexFileOpenPartial断点脱壳原理分析》我们知道一个Dex文件加载必须经过dvmDexFileOpenPartial函数,这个函数内调用 dexFileParse 进行解析Dex文件成DexFile

我们看看Android 源码中dexFileParse的实现

再看看DexExtractor的 dexFileParse 的实现,你发现这里面比android 源码多了两行代码,而且这两行的编码格式不符合一个优秀的程序员的特质,竟然没有代码对齐,这是作者有意为之, 引起代码读者的注意。

DexHacker 是DexExtraor作者自定义一个类。你会发现会调用DexHacker类的weiteDex2Encode, 分析到这你这里关键字Encode, 为什么需要加密, 所以我们继续分析函数writeDex2Encoded。

可以看出使用base64对Dex文件加密, 加密的Dex存储在SD卡中, 文件名和应用程序有关。

注意:这里我们看到加密的dex文件保存到SD卡, 我们知道这个操作需要Android应用程序有需要给这个应用添加一个写sd卡的权限:

<uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE”/>

这里我们会有一个疑问: 为什么要对DEX文件进行加密,这样还要解密,这样不是更加的麻烦吗?

1. 这个主要是为了对抗加固策略,现在一些加固平台,比如梆梆加固,会对dex的内存dump脱壳进行检测,具体的就是hook修改当前进程的read、write读写相关的函数,一旦检测到read,write读写相关的函数的操作中有对dex文件的dump行为会有对抗的处理,防止dex的内存dump。DexExtractor脱壳工具的作者考虑为了过掉这种内存dump的对抗,需要先将原始的dex文件数据进行base64加密, 加密后,就没有DEX文件格式的特征啦。

2. 这个解密工具也在github目录下Decode.jar,用法:java -jar Decode.jar dexdir;这里需要注意的是,dexdir是我们pull出dex之后的目录,记住是目录,不是对应的dex文件哦!

DexExtractor脱壳法的脱壳步骤

由于笔者看过一个大牛使用DexExtrator 脱壳实例: http://www.wjdiankong.cn/apk%E8%84%B1%E5%A3%B3%E5%9C%A3%E6%88%98%E4%B9%8B-%E5%A6%82%E4%BD%95%E8%84%B1%E6%8E%89%E6%A2%86%E6%A2%86%E5%8A%A0%E5%9B%BA%E7%9A%84%E4%BF%9D%E6%8A%A4%E5%A3%B3/

写得很好,很详细, 就简单提炼出,脱壳步骤吧。

1、给Android 设备 安装 DexExtractor功能, 我们分析DexExtractor的原理, 我们需要重写函数dexFileParser

  • 在Android源码(AOSP)中,添加DexExtractor功能, 然后编译生成system.img,但是这个system.img 只使用余google手机和模拟器(你如果不想编译,这里给出了一个修改之后的system.img下载地址:https://pan.baidu.com/s/1jG3WQMU,这个文件是Android4.4系统的)
  • 你如果没有google手机,也不想使用模拟器, 你可以替换手机系统的libdvm.so,DexExtractor的github 有提供(ARM, X86两个版本)
  • 你使用你的手机支持 CM/LineageOS/TheMuppets 系统, 你可以下载他们源码,然后使用DexExtractor源码重写函数dexFileParse,然后编译,刷机。 (笔者支持这么干, 不过笔者还没弄过, 这么干,主动权全在我们手里)

2、添加写SD卡权限。如果应用程序没有SD卡权限, 就需要然后在AndroidManifest.xml中添加<uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE”/>,然后在回编译重签名即可。

3、查看脱壳程序对应的日志,tag是dalvikvm。发现create file end等信息段。找到脱壳之后的dex文件路径。

4、将sd卡中脱壳之后的dex文件导出到本地,在使用Decode.jar工具进行解密即可。

5、解密之后的dex格式odex,所以为了使用jadx方便查看代码逻辑,可以使用smali.jar工具将其转化成dex文件。

关于笔者

微信公众号:编码安全

微信:蕉下客

QQ日志:https://user.qzone.qq.com/1246264702/infocenter?ptsig=51g7D1S2*GrH7HrDGlJ0f7VeaovnHkAHKUIRX1gzsOU_

博客地址:http://www.cnblogs.com/jiaoxiake/

邮箱: [email protected]

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

如果你觉得博客对你有用,且你手头又有富裕,可以打赏一下!!!!

知识共享时代,做一个优秀内容提供者。

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

时间: 2024-12-25 22:51:53

android脱壳之DexExtractor原理分析的相关文章

android脱壳之DexExtractor原理分析[zhuan]

http://www.cnblogs.com/jiaoxiake/p/6818786.html内容如下 导语: 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理,使用这种方法脱壳的有2个缺点: 1.  需要动态调试 2.  对抗反调试方案 为了提高工作效率, 我们不希望把宝贵的时间浪费去和加固的安全工程师去做对抗.作为一个高效率的逆向分析师, 笔者是忍不了的,所以我今天给大家带来一种的新的脱壳方法——DexExtractor脱壳法. 资源地址: Dex

Android通用脱壳工具DexHunter的原理分析和使用说明(二)

本文博客地址:http://blog.csdn.net/qq1084283172/article/details/53715325 前面的博文<Android通用脱壳工具DexHunter的原理分析和使用说明(一)>中已经记录了很多关于DexHunter脱壳工具的脱壳原理和思考的思路问题并没有涉及到DexHunter脱壳工具的代码的分析,今天我就代码分析.理解和DexHunter脱壳工具的使用以及需要注意的地方进行博文的记录. 在阅读DexHunter的代码之前,复习下几个须知: 1>.

Android视图SurfaceView的实现原理分析

附:Android控件TextView的实现原理分析 来源:http://blog.csdn.net/luoshengyang/article/details/8661317 在Android系统中,有一种特殊的视图,称为SurfaceView,它拥有独立的绘图表面,即它不与其宿主窗口共享同一个绘图表面.由于拥有独立的绘图表面,因此SurfaceView的UI就可以在一个独立的线程中进行绘制.又由于不会占用主线程资源,SurfaceView一方面可以实现复杂而高效的UI,另一方面又不会导致用户输

Android 4.4 KitKat NotificationManagerService使用详解与原理分析(一)__使用详解

概况 Android在4.3的版本中(即API 18)加入了NotificationListenerService,根据SDK的描述(AndroidDeveloper)可以知道,当系统收到新的通知或者通知被删除时,会触发NotificationListenerService的回调方法.同时在Android 4.4 中新增了Notification.extras 字段,也就是说可以使用NotificationListenerService获取系统通知具体信息,这在以前是需要用反射来实现的. 转载请

Android 4.4 KitKat NotificationManagerService使用详解与原理分析(二)__原理分析

前置文章: <Android 4.4 KitKat NotificationManagerService使用详解与原理分析(一)__使用详解> 转载请务必注明出处:http://blog.csdn.net/yihongyuelan 概况 在上一篇文章<Android 4.4 KitKat NotificationManagerService使用详解与原理分析(一)__使用详解>中详细介绍了NotificationListenerService的使用方法,以及在使用过程中遇到的问题和

[原创]Android Studio的Instant Run(即时安装)原理分析和源码浅析

Android Studio升级到2.0之后,新增了Instant Run功能,该功能可以热替换apk中的部分代码,大幅提高测试安装的效率. 但是,由于我的项目中自定义了一些ClassLoader,当使用InstantRun时,经常出现class加载不正确的问题.分析后原因如下. 使用Instant Run编译出的apk里面会多出几个dex文件,和一个instant-run.zip,这个zip里也是一堆dex文件: 所以推测,instant Run的实现原理是: 根据代码结构,将App的源码分割

Android ListView实现不同item的方法和原理分析

ListView实现不同item的方法和原理分析 一问题抛出Listview是android里面的重要组件,用来显示一个竖向列表,这个没有什么问题:但是有个时候列表里面的item不是一样的,如下图,列表里面应该有3种类型的item  1. 头像在左边的气泡Item ,比如”今天下午我就不出来了,...”2. 头像在右边的气泡Item,比如”那就等着我发你好吧”3. 单张图片显示圆角图片item几种Item的风格是完全不同的,那么怎么实现呢? 二实现方法实现的方法我这里可以列举出两种1. 每个It

Android中Input型输入设备驱动原理分析(一)

转自:http://blog.csdn.net/eilianlau/article/details/6969361 话说Android中Event输入设备驱动原理分析还不如说Linux输入子系统呢,反正这个是没变的,在android的底层开发中对于Linux的基本驱动程序设计还是没变的,当然Android底层机制也增加几个属于android自己的机制.典型的IPC Android中的input设备驱动主要包括:游戏杆(joystick).鼠标(mouse)和事件设备(Event). 1.Inpu

Android大图片裁剪终极解决方案 原理分析

约几个月前,我正为公司的APP在Android手机上实现拍照截图而烦恼不已. 上网搜索,确实有不少的例子,大多都是抄来抄去,而且水平多半处于demo的样子,可以用来讲解知识点,但是一碰到实际项目,就漏洞百出. 当时我用大众化的解决方案,暂时性的做了一个拍照截图的功能,似乎看起来很不错.问题随之而来,我用的是小米手机,在别的手机上都运行正常,小米这里却总是碰钉子.虽然我是个理性的米粉,但是也暗地里把小米的工程师问候了个遍.真是惭愧! 翻文档也找不出个答案来,我一直对com.android.came