흔히 볼 수 있 는 android app 보강 업 체 탈각 방법 연구

목록 약술(껍질 벗 기 전에 배 운 지식,껍질 의 역사,껍질 벗 기 는 방법)
제1 세대 껍질
2 세대 껍질
삼대 껍질
제 N 세대 케이스
APK 파일 구조 Dex 파일 구조 케이스 의 식별 APK 파일 구조 요약

Dex 파일 구조

각 사
1 세대 케이스 Dex 암호 화
Dex 문자열 암호 화 자원 암호 화 대항 역 컴 파일 디 버 깅 사용자 정의 DexClassLoader
2 세대 껍질 Dex 추출 및 So 보강
1 세대 케이스 에서 흔히 볼 수 있 는 탈각 법 Dex Method 코드 를 외부 로 추출(일반 기업 판)Dex 동적 로드 So 암호 화
3 세대 케이스 Dex 동적 복호화 와 So 혼동
Dex Method 코드 동적 복호화 So 코드 팽창 혼동 대항 전에 나타 난 모든 탈각 법
4 세대 케이스 arm vmp(미래)
vmp 케이스 인식
1.보강 업 체 특징:
나 가:libchaosvmp.so,libddog.solibfdog.so 사랑 암호 화:libexec.so,libexecmain.so 방죽:libsecexe.so,libsecmain.so,libDexHelper.so 360:libprotectClass.so,libjiagu.so 통 부 방패:libegis.so 네트워크 진:libnqshield.so 바 이 두:libbaiduprotect.so
2.특징 에 기초 한 식별 코드

1 세대 케이스 메모리 Dump 법 파일 감시 법 Hook 법정 제 시스템 동적 디 버 깅 메모리 Dump 법 메모리 에서 dex.035 또는 dex.036/proc/xxx/maps 를 찾 은 후 수 동 Dump

android-unpacker https://github.com/strazzere/android-unpacker

drizzleDumper https://github.com/DrizzleRisk/drizzleDumper 업 그 레이 드 된 android-unpacker,read 와 lseek 64 는 pread 대신 dex 와 일치 합 니 다.

IDA Pro + dumpDEXdumpDex https://github.com/CvvT/dumpDex

파일 감시 법 Dex 최적화 odexinotifywait-for-android 생 성https://github.com/mkttanabe/inotifywait-for-Android파일 변화 감시

notifywait-for-Android https://github.com/mkttanabe/inotifywait-for-AndroidDexOpt 출력 감시


Hook 법 Hook dvmDexFileOpenPartialhttp://androidxref.com/4.4_r1/xref/dalvik/vm/DvmDex.cpp


맞 춤 형 시스템 수정 안 드 로 이 드 소스 코드 및 브러시

DumpApk https://github.com/CvvT/DumpApk부분 케이스 만 겨냥

동적 디 버 깅 IDA Pro



gdb gcore 법
.gdbserver :1234 Cattach pid .gdb (gdb) target remote :1234 (gdb) gcore
coredump 파일 에서"dex.035"를 검색 합 니 다.

2 세대 케이스 메모리 재 구성 법 Hook 법 동적 디 버 깅 맞 춤 형 시스템 정적 탈각 기 메모리 재 구성 법
Dex 편
ZjDroid http://bbs.pediy.com/showthread.php?t=190494
케이스 와 동적 로드 를 포함 한 모든 메모리 의 완전한 dex 에 대응 합 니 다.


so 편
elfrebuild


구조 soinfo,그리고 재 구축


훅 법
코드 없 는 추출 및 Hook dvmDexFileOpenPartial 실패
Hook dexFileParse
http://androidxref.com/4.4_r1/xref/dalvik/vm/DvmDex.cpp

https://github.com/WooyunDota/DumpDex

코드 없 는 추출 및 Hook dex FileParse 실패
Hook memcmp
http://androidxref.com/4.4_r1/xref/dalvik/vm/DvmDex.cpp


맞 춤 형 시스템
안 드 로 이 드 소스 코드 수정 및 브러시-추출 코드 없 음
https://github.com/bunnyblue/DexExtractor

Hook dexfileParse


DexHunter-가장 강력 한 2 세대 껍질 벗 기 는 도구
https://github.com/zyq8709/DexHunter
DexHunter 의 작업 절차:

DexHunter 의 작업 원리:

세 프로 세 스 를 돌아 서 디 버 깅 하 다.
http://bbs.pediy.com/showthread.php?p=1439627


시스템 원본 코드 수정 후:

http://www.cnblogs.com/lvcha/p/3903669.html

ls /proc/345/task

./gdbserver :1234 --attach346 ... (gdb) gcore
gcore 덤 프 방지 솔 루 션:
http://bbs.pediy.com/showthread.php?t=198995
정지점 mmap 디 버 깅,Hook dex FileParse 가 잘못 되 었 습 니 다.
원리:dexopt 최적화 시 dvm ContinueOptimization()->mmap()

정적 탈각 기
케이스 so 논리 분석 및 암호 화 알고리즘 복원
http://www.cnblogs.com/2014asm/p/4924342.html

사용자 정의 linker 탈 so 케이스
https://github.com/devilogic/udog
main() -> dump_file()

3 세대 케이스 dex2oat 법 맞 춤 형 시스템 dex2oat 법
ART 모드 에서 dex2oat 가 oat 를 생 성 할 때 메모리 의 DEX 는 완전 합 니 다.
http://bbs.pediy.com/showthread.php?t=210532

맞 춤 형 시스템
Hook Dalvik_dalvik_system_DexFile_defineClassNative
모든 DexClassDef 를 열거 하고 모든 class 를 dvmDefineClass 로 강제로 불 러 옵 니 다.

N 세대 껍질 so+vmp 동적 디 버 깅+인 육 복원