Android 加壳与脱壳方式总结



介绍

说到加壳,之前接触的主要都是pc端的壳,当时的脱壳就是用的esp脱壳法,大概意思就是程序运行到将当前环境保存之后,在当前的esp指向的地址下硬件断点,然后再次运行到该点时,进行dump内存,即可(大概意思,好多年没弄过了,网上资料很多反正)。这个时通常的加密或者压缩壳的方式,还有类似vmprotect的虚拟机壳,就是用其他指令代替原有的指令从而达到反调试的技术。这个没研究过怎么破解,还有代码抽取技术,将部分关键代码抽取出来,具体也没了解过。。当时学的太粗浅了。现在主要搞Android方面的,看了非虫的新书,所以这里做个总结,首先介绍一下常见的壳的识别:

可以使用类似peid的工具,对文件的二进制进行识别,Android中工具是:apkid 需要安装yara,使用pip install apkid后,

命令行执行:$ apkid 文件名 即可得到编译类型以及所加的壳。


压缩壳、加密壳:

这种第一代,开始时对dex和so加密,运行时或者加载后解密,通常会加一些反调试手段。

破解方式:

hook法:

直接hook dex2oat的函数,可以得到原始的dex,但是有些apk不再走系统默认的dex2oat函数了

缓存脱壳法:

早期会有一些壳,安装包是加密压缩了,但是安装后会在/data/dalvik-cache目录下生成解密的odex文件,只要取出来进行一下deodex即可。

内存dump法:

在运行后,dump出文件内容。工具是:android-unpacker

原理即通过/proc/pid/maps的内存映射表,找到dex起始位置,通过dump_memory()将dex dump出来。

动态调试脱壳法:

通过适当的点,在dex解密后dump,适当的点包括:dvmdexfileopenpartial;dexFileParse;memcpy(当第二个参数为DEX_OPT_MAGIC)时,并且这是一个不断更新的过程。之前还看过四哥写的一个函数是Dexclassloader

hook脱壳法:

其实原理就是动态调试,只是通过hook框架自动化实现了。

系统定制法:

修改android源码中的相关函数后刷机实现,也是一种自动化


指令抽取壳:

部分方法需要执行时动态解密。

防脱壳方式:

设置一些虚假函数,一旦调用自动退出程序

破解方式:

FART:针对art模式,调用所有方法后抽取dex

dalvik:f8left可破解,但是dalvik很多应用以及无法安装


保护壳:

多种方式保护,如代码抽取、执行前后解密又加密、多进程保护、反调试、反dump等

破解方式:

内存重组脱壳法:

通过内存中dex文件的格式,找到完整的dex文件,将其组合到一起。主要流程:libdvm.so->gDvm->userDexFiles->pEntries.isDex->pRawDexFile->pDvmDex->pDexFile。工具参照Cvvt编写的dumpDex脚本

https://github.com/CvvT/dumpDex

hook方式:

还是实现自动化的方式,断点为dvmCallMethodV;

系统定制法:

这里为了让所有代码全部解密,主动加载所有类,而后就变为全解密的dex了,通过dvmDefineClass实现,工具为DexHunter。

虚拟执行壳:

llvm pass 混淆壳,360壳就采用这种方式

类似vmprotect,大概有三种混淆方式:

1:指令替代:使用新的汇编级指令代替原有指令,造成逆向的困难,如a + b可替代为 (a|b)+(a&b)等;

2:控制流平坦化

3:伪造控制流

还有修改控制流、伪造控制流等方式。

Android中使用的方式是llvm编译,开源库为:Obfuscator-LLVM

破解方式:

如上a+b,可以替换为多种指令,可以使用模式匹配的方式还原。

针对控制流修改,通过对比CFG,修改bl指令的执行。

你可能感兴趣的:(Android 加壳与脱壳方式总结)