android脱壳:一种使用native进行抽取壳脱壳的方法,native版本的frida-fart

前言

写rxposed的时候,搞了很多模块,其中有一个远程调用脱壳的,但是当时使用的是rmi远程调用,因为一些问题无法使用,可能是对抗问题,也有可能是技术问题,所以我又换了一种远程调用方式。

概述

android的dex加固,有整体dex加固,抽取加固,dex vmp,java2c,虽然有这么多,但是其实就脱壳主要是两个方面,第一个是整体dex脱壳,第二个就是在整体dex脱壳的基础上进行dex加密函数还原。抽取加固,dex vmp,java2c这些加固方式都以函数为粒度,进行函数代码的保护。

整体加固脱壳

这个比较简单,有一些dex的文件是不进行加固的,直接解压apk就行,有些dex是加固过的,常用的dex不落地的内存加载,对于这种dex的脱壳都有个通用的方案,就是内存dump。dex在运行时总是要加载到内存中的,所以选择合适的时机是可以dump下来完整的dex的。

抽取壳脱壳

dexvmp,java2c,dex抽取,这些加固方案,在我看来其实都是函数方法抽取,dex抽取是代码抽取了以后,在运行时还原,dexvmp,java2c这些方案是抽取了以后将抽取的代码转变成了另一种代码,导致了无法自动还原,code_item消失。

dex抽取还原与防护的问题

如上所属,整体加固的脱壳,在运行时dump下来,而dex抽取,我也说了,在运行时还原,那么可以不可以将dex整体dump和dex抽取还原放到一起那

可以,这种可执行文件加固,本质上就是一种静态加密,动态运行时解密,理论上只要在动态运行解密后dump下来就可以了。

为什么fart和frida-fart都是先脱dex然后在修复code_item的方案

因为直接在内存dump整体dex,然后在获取解密的code_item的修复到dex的方案,对于某些有针对性对抗的安全方案是无效的,对于比较简答的dex抽取确实没有问题

为什么对于某些有针对性对抗的安全方案,内存直接修复dex无效(没有完全分析完成)

因为内存中dump下来的dex在修复code_item的时候,都是将dump下来的code_item,写到dex中code_item被抽取出来的位置,但是内存中dump出来的dex中,可能没有code_item的位置,可能是dex文件进行了重新编译的时候抽出来,也可能是定制了dex重编译,将特定的code_item抽出来,也有可能是修改了偏移位置等等

fart和frida-fart异同

fart和frida-fart都是基于主动加载脱壳,但是fart是基于函数级别的主动加载,会在dex方法执行前夕进行dump,frida-fart是基于类加载的主动加载,颗粒度没有fart细,但是他们有同属于dex内存加密函数自动还原方式的脱壳,如果frida-fart不行,可能是有一些别的问题,如果fart,那么可能就是真的不行,这种方案就本身不行了。甚至可能不是dex抽取壳。

frida-fart 能不能做到和fart一样

理论上可以,hook一些fart中dex函数主动调用需要用到的函数,确实可以,但是目前没有实践

修复问题

fart和frida-fart具体怎么修复的我没有去了解,但是如果内存位置不够的话,先反编译dex,将code_item的字节码反编译然后写入到dex中(可能需要用smail写),然后在回编译,可能就可以了。当然,如果可以做到dex内存重组,也可以。

dex抽取壳的强度好像有点低,有没有更高强度的方案

dex抽取相比于dex内存不落地加载,实现的难度高很多,但是在保护方面,强度确实好像并没有很高,有些确实有修复问题,但是实际上内存中都解密了。

网上说fart是主动调用,但是我觉得不太准确,far和frida-fart其实都像是主动加载,博客里说的这些函数需要真正执行一次在dump,更像是主动调用

借鉴一段他的代码

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

.method public constructor <init>()V

    .registers 2

    goto :goto_c

    :goto_1

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    return-void

    :goto_c

    const v0, 0x1669

    invoke-static {v0}, Ls/h/e/l/l/H;->i(I)V

    goto :goto_1

.end method

函数本身就是壳代码,需要先执行一次,对本身进行解密。

还有一些强度更高的,被加密的函数执行以后,会先调用壳代码解密,然后调用执行原函数,然后在加密回去。甚至可以将dex指令揭秘一条,执行一条,循环解密,这些可能会需要一些技巧,但是都是fart或者说自动脱壳所无法做到的。

抽取方案的问题

确实可能存在更高强度的抽取,我在研究的时候也一堆纠结,但是转换思路想写,抽取壳本身的兼容问题,写的强队越高,越复杂,兼容问题越严重,而且还有性能问题,一般越复杂的加密和解密,都意味着性能成倍的损耗。另外方案价值的问题,如果抽壳的方案写的如此复杂,就像我前面说的,解密要好几层,那么为什么不用dex vmp。

学到了点东西

安全对抗中技术确实是一个问题,但是一个安全产品不是技术的高低问题,而是他是否能符合客户要求,在符合用户要求和最大化利益的情况下,提高技术上线。毕竟要吃饭,这也是对抗中防守方的弱势问题。

native版本的frida-fart

我在上一次写博客推荐我的rxposed的工具的时候,埋了个脱壳的坑,但是有些事没搞完。

讲个笑话:

当时我觉得fart这类工具确实是可以做到内存自动修复的,然后我屁颠屁颠的去找肉丝说我给你修一下,然后肉丝说你去搞搞银行app,然后我去了,我才发现这种code_item偏移位置有问题的dex,理论上确实能做,但是工程里估计很大,只能说,真是尴尬。

网上说fart是主动调用,但是我觉得不太准确,far和frida-fart其实都像是主动加载,博客里说的这些函数需要真正执行一次在dump,更像是主动调用

借鉴一段他的代码

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

.method public constructor <init>()V

    .registers 2

    goto :goto_c

    :goto_1

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    nop

    return-void

    :goto_c

    const v0, 0x1669

    invoke-static {v0}, Ls/h/e/l/l/H;->i(I)V

    goto :goto_1

.end method

函数本身就是壳代码,需要先执行一次,对本身进行解密。

还有一些强度更高的,被加密的函数执行以后,会先调用壳代码解密,然后调用执行原函数,然后在加密回去。甚至可以将dex指令揭秘一条,执行一条,循环解密,这些可能会需要一些技巧,但是都是fart或者说自动脱壳所无法做到的。

抽取方案的问题

确实可能存在更高强度的抽取,我在研究的时候也一堆纠结,但是转换思路想写,抽取壳本身的兼容问题,写的强队越高,越复杂,兼容问题越严重,而且还有性能问题,一般越复杂的加密和解密,都意味着性能成倍的损耗。另外方案价值的问题,如果抽壳的方案写的如此复杂,就像我前面说的,解密要好几层,那么为什么不用dex vmp。

学到了点东西

安全对抗中技术确实是一个问题,但是一个安全产品不是技术的高低问题,而是他是否能符合客户要求,在符合用户要求和最大化利益的情况下,提高技术上线。毕竟要吃饭,这也是对抗中防守方的弱势问题。

native版本的frida-fart

我在上一次写博客推荐我的rxposed的工具的时候,埋了个脱壳的坑,但是有些事没搞完。

讲个笑话:

当时我觉得fart这类工具确实是可以做到内存自动修复的,然后我屁颠屁颠的去找肉丝说我给你修一下,然后肉丝说你去搞搞银行app,然后我去了,我才发现这种code_item偏移位置有问题的dex,理论上确实能做,但是工程里估计很大,只能说,真是尴尬。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/571850.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

21-22 - 线性表的链式存储结构 单链表的具体实现

---- 整理自狄泰软件唐佐林老师课程 文章目录 1. 线性表的链式存储结构1.1 定义1.2 逻辑结构1.3 专业术语的统一 2. 链表的基本概念2.1 单链表中的结点定义2.2 单链表中的内部结构2.3 在目标位置处插入数据元素2.4 在目标位置处删除数据元素 3. 链式存储结构线性表的实现3.1 设…

排列对称串

Description:很多字串&#xff0c;有些是对称的&#xff0c;有些是不对称的&#xff0c;请将那些对称的字事按从小到大的顺序输出&#xff0c;字事先以长度论大小&#xff0c;如果长度相同&#xff0c;再以ASCI码值为大小标准 Input.输入数据中含有一些字串(1≤串长≤256)。 #…

linux文件句柄数满,linux文件句柄数超出系统限制怎么办?

1、问题阐述&#xff1a; too many open files&#xff1a;顾名思义即打开过多文件数。 不过这里的files不单是文件的意思&#xff0c;也包括打开的通讯链接(比如socket)&#xff0c;正在监听的端口等等&#xff0c;所以有时候也可以叫做句柄(handle)&#xff0c;这个错误通常…

Rust腐蚀服务器搭建架设教程ubuntu系统

Rust腐蚀服务器搭建架设教程ubuntu系统 大家好我是艾西一个做服务器租用的网络架构师。Rust腐蚀游戏对于服务器的配置有一定的要求很多小伙伴就思考用linux系统搭建的话占用会不会小一点&#xff0c;有一定电脑基础的小伙伴都知道Linux系统和windows系统相比较linux因为是面板…

coreldraw2024精简版绿色版安装包免费下载

CorelDRAW 2024是一款矢量图形设计软件&#xff0c;于2024年3月5日正式在全球范围内发布。这款软件在多个方面进行了更新和改进&#xff0c;为用户提供了更多高效、灵活和便捷的设计工具。 首先&#xff0c;CorelDRAW 2024新增了绘画笔刷功能&#xff0c;这些笔刷不仅模拟了传…

算法学习001-圆桌问题 中小学算法思维学习 信奥算法解析 c++实现

目录 算法学习001-圆桌问题 一、题目要求 1、编程实现 2、输入输出 二、算法分析 三、程序编写 四、程序说明 五、运行结果 六、考点分析 七、推荐资料 算法学习001-圆桌问题 一、题目要求 1、编程实现 圆桌边围坐着2n个人&#xff0c;其中n个人是好人&#xff0c…

【199.二叉树的右视图】_二叉树_day01

1 题目描述 给定一个二叉树的 根节点 root&#xff0c;想象自己站在它的右侧&#xff0c;按照从顶部到底部的顺序&#xff0c;返回从右侧所能看到的节点值。199.二叉树的右视图 2 解题思路 此题是二叉树层序遍历的拓展。 创建一个队列que (Queue)起到中介的作用&#xff0c…

Atom-7B-Chat本地推理

Atom-7B-Chat 本地推理 基础环境信息&#xff08;wsl2安装Ubuntu22.04 miniconda&#xff09; 使用miniconda搭建环境 (base) :~$ conda create --name Llama-Chinese python3.10 Retrieving notices: ...working... done Channels:- defaults Platform: linux-64 Collectin…

RealSenseSR300工程环境配置说明

新建目录结构如下&#xff1a; output:存储可执行文件.exe等src:存储源码.cpp .h等3rdparty:存储第三方库 opencv等 其中将源码按照main及其相关文件分为以下三类 vs2015许可证到期后先激活&#xff0c;激活码很多网上有&#xff0c;如&#xff1a;HMGNV-WCYXV-X7G9W-YCX63…

企业微信hook接口协议,根据手机号搜索联系人

根据手机号搜索联系人 参数名必选类型说明uuid是String每个实例的唯一标识&#xff0c;根据uuid操作具体企业微信 请求示例 {"uuid":"3240fde0-45e2-48c0-90e8-cb098d0ebe43","phoneNumber":"1357xxxx" } 返回示例 {"data&q…

【SQL代理中转注入】对DVWA登录界面username字段实施注入

一、实验过程 步骤0&#xff1a;注释掉相关username防护&#xff0c;截图如下&#xff1a; 以DVWA为攻击目标&#xff0c;将login.php中第21、22行注释掉 步骤1&#xff1a;源码分析&#xff0c;截图如下&#xff1a; 如此可知&#xff0c;首先需要通过token验证&#xff0c;然…

Matlab|含多微网租赁共享储能的配电网博弈优化调度

目录 主要内容 结果一览 下载链接 主要内容 首先利用NSGA-II算法求解三个微网的最优充放电策略并做为已知条件代入到双层调度模型中&#xff1b;然后求解双层模型&#xff0c;上层为主动配电网调度模型&#xff0c;下层包括共享储能优化模型和多微网优化调度模型&a…

【Camera KMD ISP SubSystem笔记】CAM SYNC与DRQ①

在android系统中fence用于不同模块需要访问同一块buffer的同步&#xff0c;例如camera和graphic。对于preview buffer, camera是生产者graphic是消费者。 camera需要生产图像数据到preview buffer时需要等待preview buffer的 fence可用。 camera sync是高通camx框架里面用于各个…

SpringBoot学习之Redis下载安装启动【Windows版本】(三十六)

一、下载Redis for Windows Redis 官方网站没有提供 Windows 版的安装包,但可以通过 GitHub 来下载安装包,下载地址:https://github.com/tporadowski/redis/releases 1、网站提供了安装包和免安装版本,这里我们直接选择下面的免安装版本 2、下载后的压缩包解压以后,如下…

idm序列号永久激活码2023免费可用 IDM软件破解版下载 最新版Internet Download Manager 网络下载加速必备神器 IDM设置中文

IDM是一款多线程下载工具&#xff0c;全称Internet Download Manager。IDM的多线程加速功能&#xff0c;能够充分利用宽带&#xff0c;所以下载速度会比较快&#xff0c;而且它支持断点续传。它的网站音视频捕获、站点抓取、静默下载等功能&#xff0c;也特别实用。 idm使用技…

MyBatisPlus分页查询的使用

一、导入依赖 <!-- MyBatis-plus的依赖 --> <dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.5.4</version> </dependency><!-- mysql的依赖 --> &l…

C# Solidworks二次开发:枚举应用实战(第三讲)

大家好&#xff0c;今天继续介绍枚举相关内容。 下面是今天要介绍的枚举&#xff1a; &#xff08;1&#xff09;第一个为swACisOutputVersion&#xff0c;这个枚举为ACIS的版本&#xff0c;下面是官方的具体解释&#xff1a; 其枚举值为&#xff1a; MemberDescriptionswAc…

JVM支持的可配置参数查看和分类

JVM参数大致可以分为三类: 标注指令:-开头。 这些是所有的HotSpot都支持的参数。可以用java-help 打印出来。 非标准指令: -X开头。 这些指令通常是跟特定的HotSpot版本对应的。可以用java -X打印出来。 不稳定参数: -XX 开头。 这一类参数是跟特定HotSpot版本对应的&#x…

【简单介绍下机器学习之sklearn基础】

&#x1f3a5;博主&#xff1a;程序员不想YY啊 &#x1f4ab;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f917;点赞&#x1f388;收藏⭐再看&#x1f4ab;养成习惯 ✨希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出…

【注解和反射】获取类运行时结构

继上一篇博客【注解和反射】类加载器-CSDN博客 目录 七、获取类运行时结构 测试 getFields()和getDeclaredFields() getMethods()和getDeclaredMethods() 七、获取类运行时结构 获取类运行时结构通常指的是在Java等面向对象编程语言中&#xff0c;使用反射&#xff08;Ref…