ZjDroid--脱壳神器介绍

https://github.com/halfkiss/ZjDroid

Android app dynamic reverse tool based on Xposed framework.

一、ZjDroid工具介绍

ZjDroid是基于Xposed Framewrok的动态逆向分析模块，逆向分析者可以通过ZjDroid完成以下工作：1、DEX文件的内存dump2、基于Dalvik关键指针的内存BackSmali，有效破解主流加固方案3、敏感API的动态监控4、指定内存区域数据dump5、获取应用加载DEX信息。6、获取指定DEX文件加载类信息。7、dump Dalvik java堆信息。8、在目标进程动态运行lua脚本。

二、ZjDroid相关命令

1、获取APK当前加载DEX文件信息：adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"dump_dexinfo"}'

2、获取指定DEX文件包含可加载类名：adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"dump_class","dexpath":"*****"}'

4、根据Dalvik相关内存指针动态反编译指定DEX，并以文件形式保存。adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"backsmali","dexpath":"*****"}'

该方式可以脱壳目前大部分流行的加固防护。(由于手机性能问题，运行较忙)例外情况：由于ApkProtect特定防修改检测，需要做如下修改即可解固该保护：（1）在设备上创建特定目录（如/data/local）并 chmod 为777（2）复制zjdroid.apk到该目录，并修改文件名为zjdroid.jar (3) 修改/data/data/de.robv.android.xposed.installer/conf/modules.list 模块代码文件修改为"zjdroid.jar"从启设备即可。

5、Dump指定DEX内存中的数据并保存到文件（数据为odex格式，可在pc上反编译）。adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"dump_dex","dexpath":"*****"}'

6、Dump指定内存空间区域数据到文件adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"dump_mem","start":1234567,"length":123}'

7、Dump Dalvik堆栈信息到文件，文件可以通过java heap分析工具分析处理。adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"dump_heap"}'

8、运行时动态调用Lua脚本该功能可以通过Lua脚本动态调用java代码。使用场景：可以动态调用解密函数，完成解密。可以动态触发特定逻辑。adb shell am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"invoke","filepath":"****"}'

luajava相关使用方法：http://www.keplerproject.org/luajava/

8、敏感API调用监控

三、相关命令执行结果查看：

1、命令执行结果：adb shell logcat -s zjdroid-shell-{package name}

2、敏感API调用监控输出结果：adb shell logcat -s zjdroid-apimonitor-{package name}

Android学习手册 破解过程

转:http://blog.sina.com.cn/s/blog_92b6d74d0102uyhl.html

• 昨天看到鬼哥发了一个《Android学习手册》软件的破解限制版 是爱加密的东西。想来 脱壳神器到手之后，除了试演很真没实战过呢 所以就想拿来试试。

一、脱壳
打开DDMS 查看 loading.androidmanual 包的PID，是27253；
在 adb shell 下，运行
am broadcast -a com.zjdroid.invoke --ei target 27253 --es cmd'{"action":"dump_dexinfo"}'
在LogCat中查看Jar的路径，得到：/data/app/loading.androidmanual-1.apk ；
于是开始用BakSmali来Dump出DEX文件，运行
am broadcast -a com.zjdroid.invoke --ei target 27253 --es cmd'{"action":"backsmali","dexpath":"/data/app/loading.androidmanual-1.apk"}'
运行了几分钟，在日志中就会显示已完成。这是取出DEX即可。一般的路径是：包名/files/dexfile.dex。

 

二、简单修复
将classes.dex置换，然后签名安装之后，会发现程序闪退。于是打开IDE反编译看看。
修复的方法是将 AndroidManifest.xml 文件中的application修改为
   
也就是将其中的 name 属性去掉。然后编译安卓就能运行了。

 

三、分析破解
①破解激活。
我采用的是爆破的方法，破解其功能限制，直接享受激活的待遇。很简单，搜索“请先激活账户！”，然后在相关的方法中修改跳转即可；
改好之后，内容确实是可以看了但是还有一点不上的地方就是点击“我的账户”仍然会跳到未激活的界面。经过查看资源文件xml文件发现，未激活状态与收费账户是两个不同的界面，也就是两个Activity所以将这两个 Activity 的代码置换就OK了，于是，替换 CreditActivity 的代码为 DollarActivity的代码，再点击“我的账户”时，就显示收费账户了。

②去除更新。
搜索“Update”可知，该软件运用友盟进行自动更新。在 Lcom/umeng/update/UpdateResponse.Method a的异常抛出中会发现 YES . update .version等关键字符，搜索删除异常执行的代码，那么就变成了：

.method privatea(Lorg/json/JSONObject;)V

   .locals 2

   :try_start_0
   :try_end_0
    .catchLjava/lang/Exception; {:try_start_0 .. :try_end_0}:catch_0

   :cond_0
   :goto_0
   return-void

   :catch_0
   move-exception v0

   invoke-virtual {v0},Ljava/lang/Exception;->printStackTrace()V

   goto :goto_0
.end method

但是这个貌似之后去除了进去时的更新，在点击“自动更新”按钮选项时，可能还会是提示更新，于是我们根据字符串：
没有更新 当前版本v1.0.7
追到了 Lloading/androidmanual/M .MethodonUpdateReturned方法，它有一个据p1的值进行执行的switch语句，而no_update字符在switch_2中，所以我们在switch执行之前p1进行赋值为2的操作就可，变成：
    const/4p1,0x2
   packed-switch p1, :pswitch_data_0

教程结束。谢谢所有技术大牛的技术分享。

 

附件：http://pan.baidu.com/s/1i3FsMqh