说到加壳,之前接触的主要都是pc端的壳,当时的脱壳就是用的esp脱壳法,大概意思就是程序运行到将当前环境保存之后,在当前的esp指向的地址下硬件断点,然后再次运行到该点时,进行dump内存,即可(大概意思,好多年没弄过了,网上资料很多反正)。这个时通常的加密或者压缩壳的方式,还有类似vmprotect的虚拟机壳,就是用其他指令代替原有的指令从而达到反调试的技术。这个没研究过怎么破解,还有代码抽取技术,将部分关键代码抽取出来,具体也没了解过。。当时学的太粗浅了。现在主要搞Android方面的,看了非虫的新书,所以这里做个总结,首先介绍一下常见的壳的识别:
可以使用类似peid的工具,对文件的二进制进行识别,Android中工具是:apkid 需要安装yara,使用pip install apkid后,
命令行执行:$ apkid 文件名 即可得到编译类型以及所加的壳。
这种第一代,开始时对dex和so加密,运行时或者加载后解密,通常会加一些反调试手段。
hook法:
直接hook dex2oat的函数,可以得到原始的dex,但是有些apk不再走系统默认的dex2oat函数了
缓存脱壳法:
早期会有一些壳,安装包是加密压缩了,但是安装后会在/data/dalvik-cache目录下生成解密的odex文件,只要取出来进行一下deodex即可。
内存dump法:
在运行后,dump出文件内容。工具是:android-unpacker
原理即通过/proc/pid/maps的内存映射表,找到dex起始位置,通过dump_memory()将dex dump出来。
动态调试脱壳法:
通过适当的点,在dex解密后dump,适当的点包括:dvmdexfileopenpartial;dexFileParse;memcpy(当第二个参数为DEX_OPT_MAGIC)时,并且这是一个不断更新的过程。之前还看过四哥写的一个函数是Dexclassloader
hook脱壳法:
其实原理就是动态调试,只是通过hook框架自动化实现了。
系统定制法:
修改android源码中的相关函数后刷机实现,也是一种自动化
部分方法需要执行时动态解密。
防脱壳方式:
设置一些虚假函数,一旦调用自动退出程序
破解方式:
FART:针对art模式,调用所有方法后抽取dex
dalvik:f8left可破解,但是dalvik很多应用以及无法安装
多种方式保护,如代码抽取、执行前后解密又加密、多进程保护、反调试、反dump等
内存重组脱壳法:
通过内存中dex文件的格式,找到完整的dex文件,将其组合到一起。主要流程:libdvm.so->gDvm->userDexFiles->pEntries.isDex->pRawDexFile->pDvmDex->pDexFile。工具参照Cvvt编写的dumpDex脚本
https://github.com/CvvT/dumpDex
hook方式:
还是实现自动化的方式,断点为dvmCallMethodV;
系统定制法:
这里为了让所有代码全部解密,主动加载所有类,而后就变为全解密的dex了,通过dvmDefineClass实现,工具为DexHunter。
llvm pass 混淆壳,360壳就采用这种方式
类似vmprotect,大概有三种混淆方式:
1:指令替代:使用新的汇编级指令代替原有指令,造成逆向的困难,如a + b可替代为 (a|b)+(a&b)等;
2:控制流平坦化
3:伪造控制流
还有修改控制流、伪造控制流等方式。
Android中使用的方式是llvm编译,开源库为:Obfuscator-LLVM
如上a+b,可以替换为多种指令,可以使用模式匹配的方式还原。
针对控制流修改,通过对比CFG,修改bl指令的执行。