1. Apk dex 加固
目前存在对 apk 中的 class.dex 进行加密的技术,即加壳。通过对 dex 文件的加壳,可以达到减小文件大小,隐藏真实代码的效果。
2. 运行时解密
与 windows 上的 shell 一样,Android 加壳程序在程序运行时,先到达壳的入口点,运行解壳代码,然后再到达程序入口点,运行代码。而要脱壳则要在程序解码完毕后,到达程序真实入口点中间某个位置,把原始的 dex 代码给 dump 出来,还原到 apk 文件中。
3. 一个简单 demo
入口点改变:
壳入口:
程序入口:
壳代码中 Java 层转 jni 层
jni 层中解密 dex 数据,还原并替换为原始 Application 数据,内存中获取到原始数据后,即可直接放到原始的 apk 文件中。所关注的加密文件是 cls.jar 和 juice.data
JNI_OnLoad 函数(注册 native 函数)还原:
parse_dex 函数完成对 dex 文件的解密和还原
对 parse_dex 进行调试
程序在断点处中断
动态调试得到原始 dex 文件被解密出来的存放地址
cls.jar 文件在解密后是原始的 class.dex 文件
Dump 脚本:IDC
dex 文件在内存中的大小为
但是 dump 出来的 dex 文件打开后没有函数的真实代码
原理是程序执行之后再会对函数的真实代码进行还原openDexFile:将内存中的 dex 文件转换为 DexOrJar 结构体Dex 文件的新地址:
然后重新 dump 出文件
不过新 dump 出来的文件存在解析错误
错误原因是 dump 出的 dex 文件不包括完整数据,需要将遗漏的数据补充进来
然后计算出完整文件的大小重新 dump
最后看到 dump 出的 dex 文件能够正常打开,脱壳步骤已经完成了重新分析下对内存数据进行修正的函数
该循环中对 dex 数据进行修正 将 dump 出来的数据反编译为 smali 代码,然后将该 smali 代码替换掉程序中的原有代该码,然后删掉壳的入口点,重新编译之后该 app 成功脱壳。