一二三代壳和加壳技术分类识别

最新推荐文章于 2024-10-09 12:07:32 发布
原创 最新推荐文章于 2024-10-09 12:07:32 发布 · 5k 阅读 · 14
本文围绕Android加壳技术展开,介绍了动态加载这一基础,阐述了ClassLoader修正的两种手段。回顾了壳的发展历程,列举了加固厂商特征。还讲述了加壳技术的发展、识别方法,以及针对不同类型壳的解决方案,如Dex整体加壳、函数抽取、VMP和Dex2C等。

文章目录

参考: https://www.jb51.net/article/133834.htm

1. 动态加载

动态加载是Dex加壳、插件化、热更新的基础
比如阿里的AndFix和HotFix,腾讯的tinker、美团的Robust等热修复框架的基础

什么是动态加载? 为什么要动态加载?

动态加载就是用到的时候再去加载,也叫懒加载,也就意味着用不到的时候不会去加载。

2. ClassLoader修正

动态加载的dex不具备生命周期特征,App中的Activity、Service等组件无法正常工作,只能完成一半函数的调用;
需要对ClassLoader进行修正,App才能够正常运行,两种修正手段;

解决手段1:反射替换成DexClassLoader

修改系统组件类的ClassLoader(mClassLoader),通过反射的方式进行替换,替换成DexClassLoader.

解决手段2:插入DexClassLoader

在PathClassLoader和BootClassLoader中间插入DexClassLoader(双亲委派)

3. 壳史

第一代壳 Dex加密

Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader

第二代壳 Dex抽取与So加固

对抗第一代壳常见的脱壳法Dex Method代码抽取到外部(通常企业版)Dex动态加载So加密

最低0.47元/天 解锁文章
frida-dexdump 使用快速脱
weixin_44236034的博客
10-25 6831
暴力破解法 frida-dexdump 的使用介绍提示:以下是本篇文章正文内容,下面案例可供参考frida-dexdump 基本上脱还是比较方便的!非常简单。
加固与脱05 - 类型识别
最新发布
a5right的博客
10-09 1332
​以前一些老旧的技术就不介绍了,比如,动态加载、内存不落地加载的方式。
360二加固脱方法总结
雪一梦的博客
05-29 2万+
加固的难度有所增加,最明显的地方就是qihoo下面增加了一个Configuration.smali文件。由以前的一个增加为两个。 脱时有几个关键的so: 1.libc.so(主要是提供一些系统函数,比如open、fopen、fget等等); 2.libdvm.so/libart.so(主要是Android中的系统so,也是重要的Android虚拟机中的重要的so,由于Android有java层面要跟本地层进行交互时,因此这里面的很多系统函数很重要,比如libdvm.so中的dvmdexfileopen
Android常见App加固厂商脱方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(脱前学习的知识、的历史、脱方法)第一第二第三第N 简述 Apk文件结构Dex文件结构识别 Apk文件结构 Dex文件结构 史 第一 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二 Dex抽取与So加固 对抗第一常见的脱
百度加固逆向分析—dex还原--二抽取
zhangmiaoping23的专栏
10-22 1917
上回说过要再写一篇文章,这里跟大家分享一下百度DEX的dump与修复。 下面开始: 一、如何获取dex 首先,我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个: dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体 dvmDexFileOpenPartial 从内存获取DexFil...
抖音数据采集Frida进阶:脱、自动化、高频问题
Android技术之家
06-01 3901
https://blog.51cto.com/u_15101562/26224101 Frida用于脱 安全工程师在拿到应用评测的任务之后,第一件事情是抓到他的收包发包,第二件事情应该就是拿到它的apk,打开看看里面是什么内容,如果不幸它加了,可能打开就是这样的场景,见下图,什么内容都看不到,这时候就要首先对它进行脱的种类非常多,根据其种类不同,使用的技术也不同,这里稍微简单分个类:一...
一到四解决方案
Codeooo 博客
09-09 1万+
第一加固 DEX加密 proguard等混淆、其他弱加密 DEX字符串加密 静态DEX文件整体加密解密 资源加密(xml与arsc文件加密及十六进制加密) 对抗反编译(添加垃圾类) 反调试 自定义DexClassLoader 第二加固 DEX抽取与SO加固 DEX动态加载(分为利用jni自定义jni即自定义底层函数) DEX码抽取到外部(类抽取加密按需解密动态方法修改替换) SO加密 第三加固DEX动态解密与SO混淆 Dex码动态解密 SO码膨胀混淆 .
安卓应用加固之各加壳保护技术详解
08-01 1534
#0x00 前言 安卓应用加固技术是伴随安卓应用破解技术一同发展起来的。加固技术分为加壳保护反反汇编保护技术。市面上成熟的加固厂商一般会使用加壳保护技术配合反反汇编技术对安卓应用进行加固。 安卓反反汇编技术的总结在我以下博客中将进行详细探讨(未写完),链接: 反反汇编: https://www.cnblogs.com/victor-paladin/p/11406646.html...
常见App加固厂商脱方法研究
煜铭2011
10-04 5414
目录 简述(脱前学习的知识、的历史、脱方法)第一第二第三第N 简述 Apk文件结构Dex文件结构识别 Apk文件结构 Dex文件结构 史 第一 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二 Dex抽取与So加固 对抗第一常见
Android加固总结
weixin_42454310的博客
03-14 2529
本文简单地总结了一下Android加固的背景发展历史,也介绍了一些目前常见的脱工具。对于so加密的情况,目前也有许多方法应对,比如ida动态调试dump内存中的so,GG模拟器dump内存,frida dump so,unidbg等等。对于混淆的so,也有jnitrace,unidbg,还有hluwa大佬的大作obpo等工具辅助我们分析。除此以外还有还有一些优秀的脱工具如Fart等,我也没有再做介绍了。如有问题可关注公众号:移动安全星球。
加固(反逆向)调研
yuanyang5917的专栏
08-26 1396
加固(反逆向)调研加密技术历史史第一 Dex加密第二 Dex抽取与So加固第三 Dex动态解密与So混淆第四 arm vmp Java2C破解难度常见app加固厂商脱方法研究[^2]第一第二第三第N免费版各平台对比常见付费版对比(反编译dex保护部分)兼容性以下几组是其网上对于免费版的几次测评结果:以下几组是各平台的兼容性自述:部署付费版安全技术排名:相关资料 ...
Android之整体脱原理与实践,今天带你详细了解各组件原理
m0_64604636的博客
12-12 2356
二.判断的类型: 判断App是不是加壳很简单,使用jadx打开Apk以后,查看App的四大组件类,如果组件类找不到实现,那么就是整体加壳了。 比如这里只能看到qihoo相关的码,App的码被隐藏了: 判断是不是函数抽取型就是看函数体是不是有意义的码,比如下面就是一个抽取型,可以看到函数体都是nop指令: 判断是不是dex2C/VMP,就是要看是不是有Java方法被native化了,至于到底是dex2C还是VMP则需要更一步的判断,比如native函数注册地址是否相同: 三. 加壳
Android ART dex2oat 加载加速浅析
weixin_34417183的博客
01-08 1471
前言 手机淘宝插件化框架Atlas在ART上首次启动的时候,会通过禁用dex2oat来达到插件迅速启动的目的。之后后台进行dex2oat,下次启动如果dex2oat完成了则启用dex2oat,如果没有完成则继续禁用dex2oat。但是这部分码淘宝并没有开源。且由于Atlas后续持续维护的可能性极低,加上Android 9.0上禁用失败及64位动态库在部分系统上禁用会发生crash。此文结合逆向与...
基础学习 - 01
aixu3461的博客
02-21 401
  ,这是个神奇的东西。在大自然里可以保护乌龟被吃掉,可以作为蜗牛的家......。当然进行要聊的不是各种纤维素碳酸钙构成的,而是码世界的,这个也同样具有保护功能。   一、常见的类型分为:1、加密--最常见,通过多种措施对源程序进行加密。              2、压缩--常见UPX,主要为了压缩程序的体积。              3、伪装...
dex文件全解析C语言,中篇
qq_45226456的博客
12-02 6755
dex文件全解析(C语言实现),中篇
Android分析破解-秒脱360加固大法
热门推荐
六桥风月IT随笔
05-05 3万+
Android相比iOS,安全问题往往比较突出,各种漏洞破解层出不穷。对破解方法的了解,能在开发中进行预防,加强应用的安全性。本系列文章会对Android应用的破解保护两方面做个探讨,给开发的同学一些借鉴。Andoid开发的同学可能会遇到需要做竞品分析的情况,APK加固常常会成为分析的障碍。360渠道做为Android应用分发的最大渠道,很多apk都使用了360加固。本文就来聊聊如何过掉这个坑
Android 逆向】加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-12 5381
一、加壳技术识别、 二、VMP 加壳示例、 三、Dex2C 加壳示例、
加壳与脱知识点(持续更新)
网络安全相关文章分享
01-04 1871
加壳与脱知识点 1.的种类有几种 分为压缩/加密/虚拟 (1.1压缩) 压缩调用压缩引引擎主要目的是对文件进行压缩减小文件大小 (1.2)加密 加密主要是保护软件防止被各种反跟踪技术来调试程序 (1.3)虚拟 虚拟技术应用到的领域,设计了一套虚拟机引擎,将原始的汇编码转译成虚拟机指令,要理解原始的汇编码,就必须对其虚拟机引擎进行研究,而这极大地增加了破解逆向的难度及成本。 2.常见的 (2.1)压缩 UPX、ASPack、PECompact (2.2)加密 ASProte
Frida 脱、自动化、fridaUiTools、objection、Wallbreaker
freeking101的博客
10-17 1万+
Frida 进阶:脱、自动化、fridaUiTools、objection、Wallbreaker插件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值