本文简单介绍一些so文件简单的内存dump和修复的一些流程,主要针对so脱壳中自解密的应对方案
我们在分析Android应用时,最后往往会分析到so层,而so层的防护手段有很多,一般分为有源保护和无源保护,有源保护分为自解密、混淆、源码VMP等,无源保护分为加壳、VMP保护。
自解密的有源保护
自解密保护往往是通过对函数或段进行加密,然后再加载SO文件,解密之前加密的函数和段,由于应用程序在运行后要解密相关的逻辑,所以往往只需要在SO文件运行后,进行Dump后,就可以获取解密后的逻辑,破解难度较低
前面我在看雪论坛上发表的两篇文章都讲解了第一代壳的加壳原理和脱壳原理
Android加壳脱壳学习(1)——动态加载和类加载机制详解
但是不少朋友仍然私信说有没有完整的项目,由于最近一直很忙,就没有从头实现一个简易的第一代壳加壳机,恰好最近看见看雪有大佬的一篇文章Android 简单加密壳,这篇文章很详细的讲解的整体加壳的原理和实现的思路,于是我进行了编译了源码,而其中发现签名有一点问题,并进行了小小优化,然后打包提供给大家使用
Android恶意应用的研究也是热点之一,近些年来,恶意应用的检测逐渐变成难点,以往常见的Android恶意应用的检测方式为:特征码、熵值、机器学习/深度学习等,但随着防护技术的进一步发展,Android恶意应用的检测又进入一个新的难点。现有的恶意应用检测的难点包括:
(1)恶意行为具备定制性,比如很多的恶意应用针对不同的厂商有不同的定制策略,这样使得机器学习效果较差
(2)恶意行为进行加壳,一些恶意样本采用vmp等加壳技术,将恶意行为进行隐藏
(3)恶意行为难为难以触发溯源:一些恶意样本的触发具备一定的条件限制,比如采用云控触发的方式,在某个时间点进行触发
(4)恶意行为变种较快:一些恶意应用变种较快
在前面的文章中我们已经讲述了Android加壳与脱壳的基本原理,也制作了简易的加壳机,本文主要分享一些网络上常使用的开源脱壳工具,这里收集并整理了,方便逆向工作者针对一代壳进行简易脱壳。
假设你手里有一台已经root过的测试机,但目前什么工具都没有安装,你想使用这部机器进行脱壳,你可以方便使用哪些工具呢?
你考虑使用frida,这里你可以考虑两种方案,第一自己写Frida脚本,看过我前面整体加壳和脱壳原理的,这里应该十分容易,这种方法更加具有灵活性,其次你可以使用网络上的开源框架,这里推荐使用网络上葫芦娃大佬的框架FRIDA-DEXDump
为了帮助更加方便的进行漏洞挖掘工作,前面我们通过了几篇文章详解的给大家介绍了动态调试技术、过反调试技术、Hook技术、过反Hook技术、抓包技术等,掌握了这些可以很方便的开展App漏洞挖掘工作,而最后我们还需要掌握一定的脱壳技巧,进行进一步助力我们漏洞挖掘的效率,本文主要介绍Android App加壳中的整体dex加壳,帮助大家掌握加壳的原理和脱壳的各种技能。
本文第二节主要讲述Android启动流程和加壳原理
本文第三节主要介绍整体加壳的实现
本文第四节主要讲当下脱壳点的概念
本文第五节讲述现有的脱壳技巧
为了方便编写Android加壳与脱壳系列的文章,今天收集整理了网络上实用的加壳器和分析文章,本文推荐的加壳器框架都进行了一一的复现,所以方便大家的学习。
我们纵观Android加固主要分为dex加壳和so加固,本文主要描述dex加壳的发展史
本实验主要是解析Fdex2源码解析和实现frida版本的Fdex2,Fdex2是一个针对第一代壳整体加壳的脱壳框架,不需要通过定位so层中的地址,仅仅只需要在java层就可以实现对第一代壳的脱去,主要是利用两个函数getBytes()和getDex(),目前仅仅针对于Android 7.0及以下版本,缺点:如果一些壳不经过loadClass这个流程,就无法脱下来
本文实验分为两个版本:Android7.0及以下使用frida_fdex2、Android8.0及以上使用dumpDexByCookie.js来实现
今天来分析一下自动脱壳机Youpk的源码,Youpk是一个可以解决整体壳、抽取壳的脱壳机,可以解决自解密型的抽取壳。
frameworks/base/core/java/android/app/ActivityThread.java
函数:handleBindApplication
