[操作向]DexExtractor的使用

容我先贴个目录

最近对接某应用, 他们集成我司sdk后出了点问题, 打算看看他们代码, 发现咋jadx中找不到包名目录;

jadx目录

可以看到有个 wrapper 包名 com.secneo.apkwrapper 包名, 查了下, 是梆梆加固的(我自己用免费的梆梆加密apk,倒是没有个包,而是多了 com.secshell.secData 包):

梆梆加固apk-免费版

之前用爱加密/腾讯乐固等加固软件, 都会隐藏app所有代码, 没想到梆梆只隐藏了app本身的代码,而对其依赖的第三方库的代码则保持不变, 一开始看到这个目录结构时,还以为是没有做加固,因此想找找看可不可以尝试脱壳,因为以前没玩过,所以在此记录下;
P.S. 忙活到最后,发现想脱壳的apk在虚拟机中运行不起来,郁闷的啊, 不过倒也不是没有收获就是了;

工具

搜索了一圈,发现有个开源项目 DexExtractor 直接支持梆梆脱壳;
这个项目最早是在 看雪论坛 上发布的;

DexExtractor 的使用

1. 将 github 项目 clone下来

后续会用到里面的 Decode.jar;

2. 到作者网盘上下载 system.img 并解压

这个文件是用于 android 4.4 api 19 虚拟机的, 所以需要在 /system-images 中有 android-19 目录,

若无/system-images/android-19,则可通过 android studio的创建虚拟机功能,一步步选择 System-image --> Other Images --> Kitkat 19 armeab-v7a Android 4.4(非 Google APIs)

AVD

下载完后创建一台基于此image的虚拟机;

3. 拷贝刚才下载的 system.img 到 /system-images/android-19/default/armeabi-v7a/ 中

可以备份下原始的 system.img

4. 启动刚才创建的虚拟机(api 19);

5. 将需要脱壳的apk拖入虚拟机安装运行;

注意: 要求apk带有读写存储卡的权限,若无,请自行反编译apk添加后重新编译签名后再安装运行;

6. 打开 as logcat 会看到如下日志:

create file end

其中 create file /sdcard/_classes_***.dex 就是作者把内存中运行的dex经过 base64 加密后写到存储卡上的,可能有多个;
将这些文件都拷贝出来,方法:

• adb pull /sdcard/_classes_***.dex
• 利用 android studio 3.0+ 的 Device File Explorer 来查看 /sdcard 目录, 直接右键保存所需要的文件到电脑上;

最后, 将拷贝出来的dex文件统一放入一个目录中,比如 dex_dir;

7. 利用第1步下载的 Decode.jar 进行 base64 解密

java -jar Decode.jar dex_dir

运行完成后, dex_dir 目录中的每个dex都会生成一个对应的 *.read.dex ,这就是解密后的dex;
但此时的dex无法直接通过jadx工具查看,因为是odex,倒是可以通过ida打开,因此需要进行转换;

8. 下载 baksmali.jar 和 smali.jar

9. 将odex转为jar

// 将odex文件 "your_dex.read.dex" 转成samli文件,输出到 classout 目录中
java -jar baksmali-2.2.2.jar disassemble  -o ./classout/  your_dex.read.dex

10. 将smali目录重新打包生成dex文件: final.dex

java -jar smali-2.2.2.jar assemble ./classout  -o  final.dex

11. 利用jadx直接查看 final.dex 文件即可看到源码;

参考文章

Apk脱壳圣战之—如何脱掉“梆梆加固”的保护壳
DexExtractor原理分析
常见app加固厂商脱壳方法研究
Android应用程序通用自动脱壳方法研究
Andorid APK反逆向解决方案---梆梆加固原理探寻