安卓加固脱壳

侦查壳

MT管理器

在MT管理器中/DATA/apk 找到对应app的apk,点击即可。

加固方案

  • 反模拟器

    模拟器运行apk,可以用模拟器监控到apk的各种行为,所以在实际的加固apk运行中,一旦发现模拟器在运行该APK,就停止核心代码的运行。

  • 虚拟机保护

    代码虚拟化在桌面平台应用保护中已经是非常的常见了,主要的思路是自建一个虚拟执行引擎,然后把原生的可执行代码转换成自定义的指令进行虚拟执行。

  • 加密

    样本的部分可执行代码是以压缩或者加密的形式存在的,比如,被保护过的代码被切割成多个小段,前面的一段代码先把后面的代码片段在内存中解密,然后再去执行解密之后的代码,如此一块块的迭代执行。

加固流程

将源apk拆分,将dex文件进行加密,然后和壳进行合并成新的dex,再与原来的apk合并成新的apk,进行签名。

通过 apkbuilder 工具打包成 Android Package(.apk)文件。

apk->解压缩->加密dex文件->转换为byte数组并加密->写回到源dex文件

arr解压->jar->把jar打包为dex壳文件

混合打包签名。

解密过程

AndroidManifest.xml

所有的加壳在解密时,都会替换掉AndroidManifest.xml中的第一入口,只有替换掉第一入口之后软件才能正常运行加载dex文件。

所以我们的目的就是找到第一入口,通常第一入口可以在加壳的dex文件中找到,我们可以通过MT管理器在常量中寻找,如果找不到需要考虑是否使用了加密,此时我们可以借助算法助手工具,进行hook。

Dex文件构造

c 复制代码
struct header_item
{
    ubyte[8]    magic;
    uint        checksum;
    ubyte[20]   siganature;
    uint        file_size;
    uint        header_size;
    uint        endian_tag;
    uint        link_size;
    uint        link_off;
    uint        map_off;

    uint        string_ids_size;
    uint        string_ids_off;
    uint        type_ids_size;
    uint        type_ids_off;
    uint        proto_ids_size;
    uint        proto_ids_off;
    uint        method_ids_size;
    uint        method_ids_off;
    uint        class_defs_size;
    uint        class_defs_off;
    uint        data_size;
    uint        data_off;
};
address name size / byte value
0 Magic[8] 8 0x6465 780a 3033 3500
8 checksum 4 0xc136 5e17
C Signature[20] 20
20 file_size 4 0x02e4
24 header_size 4 0x70
28 endan_tag 4 0x12345678
2C link_size 4 0x00
30 link_off 4 0x00
34 map_off 4 0x0244
38 string_ids_size 4 0x0e
3C string_ids_off 4 0x70
40 type_ids_size 4 0x07
44 type_ids_off 4 0xa8
48 proto_ids_size 4 0x03
4C proto_ids_off 4 0xc4

apk打包流程

aapt(Android Asset Packaging Tool,安卓资源打包工具)

它会进行资源索引生成,扫描并处理应用程序中的所有资源文件,比如布局文件(.xml)、图片、字符串等 ,将这些资源进行编译、压缩等处理,并为每个资源生成唯一的标识符,最终生成 R.java 文件。在代码中可以通过 R 类来引用这些资源,例如 R.drawable.icon 引用图标资源 、R.string.app_name 引用字符串资源等。

资源打包:将处理后的资源文件打包到 APK 文件中合适的位置。

处理 AndroidManifest.xml 文件,这是安卓应用的配置文件,包含了应用的组件信息(如 Activity、Service 等)、权限声明等重要信息。aapt 会验证 AndroidManifest.xml 文件的正确性,并将其编译后打包进 APK 中 。

AIDL(Android Interface Definition Language,安卓接口定义语言)

AIDL 本质上是一种描述语言,用于定义客户端和服务端之间进行通信的接口。通过 AIDL 定义的接口,一个 Android 应用中的不同进程(例如一个应用中的主进程和后台服务进程)可以相互调用对方提供的方法,就像调用本地方法一样。

apkbuilder

通过 apkbuilder 工具打包成 Android Package(.apk)文件。

脱壳工具教程

脱壳工具

首先启动脱壳工具,打开需要脱壳的app

脱壳的文件输出到/storage/emulated/0/_DexOutput

将bin文件重命名为classes.dex文件

沙盒脱壳

导入apk运行后自动脱壳到/storage/emulated/0/cloudInject/dexDump

去卡密系列

基础一

MT去签名

功能->去除签名校验->确定->安装

点击apk->查看->Dex编辑器+±>全选

常量搜索关键字,搜索到关键字后,点击关键字在弹出的窗口点击搜索,然后点击搜索到的结果

进阶一

脱壳工具脱壳

正常流程,无额外收获

注意此工具可能导致游戏无法打开,可以先启动游戏再安装工具打开。

hook入口

打开lsposed->模块->算法助手->启动模块,勾选需要hook的目标程序。

选择AES加密,打开应用,查看日志。

发现有一个像是入口的,但它是application:android.app.Application,是系统入口,显然不是我们想要找的第一入口。如果不在第一入口,只能一定在第二入口。

由于没有第一入口,我们直接找到app的安装包,修改它的AndroidManifest.xml文件,查看里面的dex文件(壳的dex文件),发现类名com.beingyi.encrypt,这就是调用的解密壳。

<application

android:name="com.beingyi.encrypt" //删除掉这一行,

后续直接把dump下来的已经解密的dex文件,使用mt管理器修复后直接拖入apk替换掉原来壳dex文件即可。

hook检验

算法助手->打开hook监听

复制回调类:使用mt管理器打开dex文件,搜索这个回调类

修改代码后,退出保存,就会自动签名。进行安装就好。

相关推荐
kyranhan11 分钟前
C#程序本地运行正常,通过网络下载报错:FileLoadException:“未能加载文件或程序集“xxx.dll”或它的某一个依赖项。
开发语言·c#·wpf
涡能增压发动积38 分钟前
Browser-Use Agent使用初体验
人工智能·后端·python
重生之我是Java开发战士1 小时前
【C语言】结构体详解
c语言·开发语言
先鱼鲨生1 小时前
gtest框架的安装与使用
开发语言·apache
2501_915909062 小时前
Charles中文版使用教程 高效抓包与API调试常见问题处理
android·ios·小程序·https·uni-app·iphone·webview
智江鹏2 小时前
Android 之 RxJava2
android
Ashlee_code2 小时前
南太平洋金融基建革命:斐济-巴新交易所联盟的技术破局之路 ——从关税动荡到离岸红利,跨境科技如何重塑太平洋资本生态
java·开发语言·科技·金融·重构·web3·php
JustNow_Man2 小时前
【LLM】 BaseModel的作用
数据库·人工智能·python·uv
隐-梵2 小时前
2025年测绘程序设计比赛--基于统计滤波的点云去噪(已获国特)
java·开发语言·windows·c#·.net
没有梦想的咸鱼185-1037-16632 小时前
MATLAB科研数据可视化技术
开发语言·机器学习·matlab·信息可视化·数据分析