Android 逆向脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )相关的知识,希望对你有一定的参考价值。





一、DEX 整体加壳



DEX 整体加壳 就是将 完整的 DEX 文件 , 进行加密 , 只保留一个壳应用 , 应用执行时 , 壳应用解密 DEX 文件 , 然后执行解密后的 DEX 文件 ;


DEX 整体加壳 比较容易进行 脱壳 , 可以通过 文件加载内存加载 两种方式进行脱壳 ;

  • 文件加载 : 加密的 DEX 文件需要进行解密 , 而且 解密后的 DEX 文件肯定要存放在某个文件中 , 通过定位该解密会后的文件 , 即可获取 DEX 文件 ; DEX 文件打开后 , 需要进行 优化 , 会产生 odex , dex2oat , oat 文件等 ;
  • 内存加载 : 加载到内存中的 DEX 文件是完整的 , 在合适的加载时机 , 得到 DEX 文件内存的起始地址 , 直接 使用 adb shell dump 命令 , 将内存中的 DEX 文件 DUMP 下来即可 ;




二、函数抽取加壳



函数抽取加壳方案中函数解密时机 :

  • 加载执行前解密 :类加载函数执行前 将 抽取的函数进行解密 ;
  • 动态解密 : 函数执行过程中 , 进行 动态解密 ;

函数抽取 的 脱壳方案 :

加载到内存中的 DEX 文件中 , 函数体是空的 , 但是在 类加载操作 , 和 函数执行前 , 必然需要将完整的类加载到虚拟机中 , 被抽取的函数在该时机进行解密 , 此时可以获取到完整的函数 ;

在 函数执行中 , 执行到对应的函数时 , 会动态地进行对应函数的解密 , 解密后到函数执行完毕之前 , 可以获取到完整的函数内容 ;


被抽取的函数 , 总要执行 , 执行前必须进行解密 , 可能执行完毕之后 , 函数可能又要加密回去 , 因此这个 抓取真实函数的时机 需要把握好 ;





三、VMP 加壳



VMP 脱壳方案 : VMP 壳的脱壳方案的核心是定位 VMP 自定义 " 解释器 " , 找到 解释器 中 Smali 指令的映射关系 , 才可以进行恢复 ;

核心是解释器 ;





四、Dex2C 加壳



Dex2C 壳 是根据 编译原理 , 通过 词法 句法 分析 , 将 Java 代码 进行了 等价的语义转换 , 转为了 C 代码 , 基本无法完全恢复为 Java 代码 ;

核心是 关注 Native 中的 jni.h 中相关函数的调用 ;





五、android 应用加固防护级别



Android 应用加固防护等级 :

  • 初级防护 : DEX 整体加壳
  • 中级防护 : 函数抽取
  • 高级防护 : VMPDex2C

以上是关于Android 逆向脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )的主要内容,如果未能解决你的问题,请参考以下文章

Android 逆向整体加固脱壳 ( 脱壳起点 : 整体加固脱壳 | Dalvik 脱壳机制 : 利用 DexClassLoader 加载过程进行脱壳 | 相关源码分析 )

Android 逆向整体加固脱壳 ( DEX 优化流程分析 | DexPrepare.cpp 中 dvmContinueOptimizati() 函数分析 )

Android 逆向整体加固脱壳 ( DexClassLoader 加载 dex 流程分析 | RawDexFile.cpp 分析 | dvmRawDexFileOpen函数读取 DEX 文件 )(代

Android 逆向整体加固脱壳 ( DexClassLoader 加载 dex 流程分析 | DexPathList 构造函数分析 | makeDexElements 函数分析 )

Android 逆向整体加固脱壳 ( 脱壳点简介 | 修改系统源码进行脱壳 )

Android 逆向整体加固脱壳 ( DexClassLoader 加载 dex 流程分析 | DexFile loadDexFile 函数 | 构造函数 | openDexFile 函数 )(代码片