利用梆梆加固逻辑漏洞取巧脱壳

最新推荐文章于 2025-05-24 08:36:35 发布
原创 最新推荐文章于 2025-05-24 08:36:35 发布 · 5.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#梆梆 #脱壳

本文介绍了一种针对梆梆加固的轻量化脱壳机技术,通过进程注入和代码执行,绕过加固保护,恢复加密的DEX文件。此方法适用于除函数级加密外的多种加固类型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先要道个歉,之前要发的进程注入,开发hook框架、插件化等技术,因为原公司产品还在使用,暂时是不能开源了,还是食言了。

 

抽空看了几家加固的应用,做了个通用脱壳机(轻量化,只需要进程注入埋点,全Java层即可,可以不依赖hook框架,当然我为了方便使用的我自己写的hook框架。类似dexhunter以及一些修改源码、编译系统的方式太重了),暂时除了梆梆函数级加密,其他加固的抽取字节码的只要还还原,就可以脱,例如爱加密,也发现了一些加固的逻辑漏洞,可以取巧脱壳(此处脱壳定义,仅限恢复非被置为Native的方法,java2c、vmp、java2jni的不在恢复范围),今天抛砖引玉,发一个梆梆的取巧脱壳的方法。

 

梆梆免费版的逆向分析就不来了,几位大佬都有过分析。
加固后,原dex被打包到secData0.jar中,secData0.jar是加密过的zip文件(不是zip加密)

 

加固应用沙箱文件

 

.cache内有加密过的jar和dex(其实是同样的加密算法)

应用第一次运行把secData0.jar复制到.cache内,即classes.jar,解密后解压出dex,在内存中拼组odex结构,写回沙箱的是个加密的odex。

 

解密classes.dex

仅需在应用进程执行如下代码,读取再写回即可。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

FileInputStream fis = null;

FileOutputStream fos = null;

try {

    File file = new File("/data/data/com.*o/.cache/classes.dex");

 

    fis = new FileInputStream(file);

    int length = (intfile.length();

    MLog.e(file+":"+ length);

    byte[] buff = new byte[length];//若文件太大可分段读取

    int read = fis.read(buff);

 

    MLog.e("read "+read+" "+new String(buff,0,3));

    File qq = new File("/data/data/com.*o/qq");

    fos = new FileOutputStream(qq);

    fos.write(buff);

 

} catch (IOException e) {

    e.printStackTrace();

}finally {

    if (fis != null) {

        try {

            fis.close();

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

    if (fos != null) {

        try {

            fos.close();

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

}

qq即为解密后的odex

使用jeb等工具打开即可

 

原理

通过注入进程,埋点、挂钩,在应用进程执行代码,梆梆hook了io相关的函数,所以读取classes.dex的时候已经被梆梆解密并重定向读取解密后的dex,所以只需读取并写到一个文件中即可。

 

注入进程并不一定非要注入当前应用进程,父进程埋点即可。

 

其实hook的定义个人觉得很多人都会以为像xposed这样基于方法的才是hook,其实安卓中的binder,Java的动态代理,(反射)替换对象等都可以理解为hook,上面的父进程和应用进程埋点,完全可以不用任何hook框架即可实现。

 

以上就是利用壳本身的机制,取巧脱壳的一种方式。防御就不提了,梆梆免费版在同类加固中算是很弱的了,应该也是不想在免费版上加强了。以上方式也可用于企业版,只是函数级加密被抽取的字节码并不能通过这种方式获取到。

利用 F2 技术信息与 SPRO 搜索双路径,精准定位 SAP CRM 下拉值后台自定义维护点
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
07-08 31
无论是职场新人还是经验丰富的 ABAP 顾问,只要掌握 F2 + GET_V + Where-Used 的技术追溯技巧,再配合 SPRO 搜索的快速过滤,就能在最短时间内找准下拉值维护的真正源头。未来在面向云的开发模式中,这两条思路依旧适用,只是工具从 SE80、SPRO 迁移到了 ADT、SSCUI 或 CBC。希望本文能成为你处理所有值帮助自定义问题时的随手笔记,也欢迎在项目中不断打磨,形成更高效的个人套路。
MySql中给视图添加注释怎么添加_默认不支持_可以这样取巧---MySql工作笔记002
添柴程序猿的专栏
09-12 928
加了以后,用Navicat查看,在定义可以看到有个add...那个东西。实际上是不能添加的,但是可以这样加一下,添加以后。
Apk脱壳圣战之---脱掉“梆梆加固”的保护壳
尼古拉斯.赵四的博客
04-18 4562
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会...
某梆企业版加固脱壳及抽代码还原方法
热门推荐
燕十二的BLOG
04-15 2万+
某梆加固企业版还是会调用系统的dvmDexFileOpenPartial 接口,因此可以这里添加hook                          51df6008-52cd50__unpackedDex.dmp即是dump出来的dex,拖到jeb里,可以看到这些函数都是空的                汇编显示,大片的指令都为nop,这些指令都被抽掉了,执行之前才会还
18款脱壳软件集锦:助力高效逆向工程与软件分析
gitblog_06730的博客
05-24 1623
18款脱壳软件集锦:助力高效逆向工程与软件分析 去发现同类优质开源项目:https://gitcode.com/ 项目核心功能/场景 18款脱壳软件集锦,全面应对TMD、UPX等加壳工具,协助分析exe和dll文件。 项目介绍 在当今软件安全和逆向工程领域,加壳技术被广泛使用以保护软件免受非法篡改。然而,对于研究人员和开发者来说,分析和研究加壳软件的内部结构同样重要。18款脱壳软件集锦应运而生,它...
如何脱掉“梆梆加固”的保护壳
xiziyunqi的博客
08-23 4631
一、jadx分析 1.在source code中的包名看到是梆梆加固(得先脱壳了) (哦!receiver可以用来提示请求获取permission)2.清单文件看到利用了设备管理器权限,来强制修改了系统密码来做的,我们通过打开软件也可以确定这点: 看到了,他申请了设备管理器权限,而这个权限用过的同学都知道,当获取到这个权限之后可以控制这个设备了,包括修改系统密码。而这个软件也是利用
APK脱壳之—如何脱掉“梆梆加固”的保护壳
白帽子九一
04-18 1万+
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会给出下载地址,从名字可以看到它肯定不会是一个恶意软件,但是当我们安装的时候,并且激活它的权限之后就完了。下面不多说了,直接用
XposedZjDroid脱壳梆梆加固
qq_34108752的博客
09-13 4236
环境 : 这里我的手机是 开启了 全局调试模式 首先让 手机开启 全局调试模式 如果已开启 则不管 第一部分: 1:安装 ZjDroid.apk 模块到手机 2:Xposed 上安装好 ZjDroid.apk 模块 然后 软重启 第二部分: 1: 打开 monitor 如果已开启全局调试模式 则会在 设备栏 后面显示 debug 2: LogCat 过滤栏 + Filter N...
墨者学院 - Tomcat 远程代码执行漏洞利用(第1题)
多崎巡礼的博客
09-17 1359
刷新fit网站 burp截包,repeater,更改不安全的HTTP方法为PUT(将get更改为options可查看服务器支持哪些) PUT /自定义文件名/ HTTP/1.1 eg:   PUT /9.jsp/ HTTP/1.1     (jsp后无空格,反之会报错) 添加以下代码 <%@ page language="java" import="java.util.*,ja...
jQuery实现瀑布流的取巧做法分享
10-24
在本文中,将介绍使用jQuery实现瀑布流布局的两种基本思路,并分享其中一种取巧的做法。 ### 瀑布流布局的两种基本思路 #### 绝对定位方案 绝对定位方案通过设置每个内容单元格为绝对定位,并通过计算每个单元格...
Android中播放Gif动画取巧的办法
09-02
然而,这里提供了一个巧妙的方法,利用Android的WebView来播放Gif动画,这种方法简单且兼容性良好。 首先,你需要将Gif文件放入Android项目的资源文件夹中,通常是`res/raw`或`assets`目录。将Gif文件放置在`assets...
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-02
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
360、爱加密、梆梆去壳辅助工具
04-01
DroidSword快速锁定具体的方法类名、FDex2_1.1去壳获取dex、GDA3.62查看去壳后的源代码
一个基于xposed和inline hook的一代壳脱壳工具
07-03
http://blog.youkuaiyun.com/zhangmiaoping23/article/details/74164657 原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hook的时机,大部分的壳都是在attachBaseContext这个方法里面去完成代码的解密。所以呢,我们就去hook Application的attach方法,在这个方法执行之前,将我们的动态库加载起来,动态库里面实现的就是对art::DexFile::OpenMemory方法的劫持。这样的话在他解密代码前art::DexFile::OpenMemory就已经被我们给控制了,所以就可以为所欲为了。这里要感谢ele7enxxh提供的Android-Inline-Hook来让我可以对native层的hook。
Apk脱壳圣战之—如何脱掉“梆梆加固”的保护壳
AT弄潮儿
02-08 1万+
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样
脱壳练习(2)-最新免费版梆梆加固脱壳笔记
葱花炒蛋的博客
04-01 1万+
直接开始吧,末尾有附件。1.    java层分析常规操作添加了一个application的入口,并加载了壳so libSecShell.so.当dex加载完后通过这两个函数进行真正的application替换。大概看一下其他文件。DexInstall大概是根据不同的sdk,进行dex的加载;Dex的一般加载流程为:Java层:替换classLoader –> 初始化DexPathList ...
12306之梆梆加固libsecexe.so的脱壳及修复
燕十二的BLOG
12-04 1万+
12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此so做一个脱壳的分析 (一)、so脱壳 此so的最先执行点在init_proc init_func负责对so进行解密 解密后,可以看到如下字符串 在IDA里找到相关的位置,可以看到如下代码: 解密函数即红框的位置。 hook该函数,让其打印出
Apk脱壳圣战之---如何脱掉“梆梆加固”的保护壳
云守护的专栏
02-22 4851
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关
简单的说就是把函数入口地址列在连续的内存空间里,执行的时候都执行一遍。 常规的做法是定义数组,但增删函数都要改动这个数组。 取巧的做法是告诉链接器,把这些数组都安排在同一块内存区域。
最新发布
06-13
<think>我们讨论的是在嵌入式开发中,如何利用链接器脚本将分散在不同源文件中的函数入口地址自动收集到一个连续的内存区域中,从而避免手动维护函数指针数组。这种方法常用于初始化函数的自动执行(如外设初始化、模块注册等)。根据引用[1]的内容,GCC编译器会将代码的不同部分(RO、RW、ZI)分配到不同的段。其中,RO段(.text)存放程序代码。我们可以利用链接器脚本自定义一个段(比如叫.init_array),然后将需要自动执行的函数放入这个段中。这样,链接器会自动将这些函数的地址连续排列在指定的内存区域。具体步骤如下:1.**在链接器脚本中定义自定义段**:在链接器脚本中,我们可以定义一个输出段(例如.init_array),并指定它的起始地址和结束地址。这样我们可以通过两个符号(如__init_array_start和__init_array_end)来访问这个段的开始和结束。2.**使用函数属性将函数放入自定义段**:在函数声明时,使用编译器特定的属性(如GCC的__attribute__((section(".init_array"))))将函数放入我们定义的段中。注意,这里我们实际上应该存放函数指针,而不是函数本身。但是,我们可以利用编译器特性将函数指针(而不是函数代码)放入指定的段。然而,需要注意的是,通常我们不会将函数的代码放入自定义段,而是将函数的地址(即函数指针)放入一个数组。我们可以通过以下方式实现:-定义一个函数指针类型。-使用一个特定的宏来声明函数,并同时将该函数的指针放入指定的段。3.**在启动代码中遍历执行**:在程序启动时(如复位处理函数中),通过访问__init_array_start和__init_array_end之间的函数指针,依次调用这些函数。具体实现:**步骤1:修改链接器脚本**在链接器脚本(如STM32的链接脚本.ld文件)中,添加以下内容:```ld/*定义初始化函数数组段*/.init_array:{.=ALIGN(4);__init_array_start=.;KEEP(*(.init_array))/*保留所有.init_array段的内容*/.=ALIGN(4);__init_array_end=.;}>FLASH```这里将段放置在FLASH中(因为函数指针是常量,应存放在只读存储器中)。**步骤2:在代码中声明初始化函数**对于每个需要自动执行的函数,我们通过宏和函数属性将其指针放入段中。在头文件中定义宏:```ctypedefvoid(*init_function_t)(void);#defineINIT_FUNCTION(fn)\staticconstinit_function_t_init_##fn__attribute__((used,section(".init_array")))=fn```然后,在每个需要自动执行的函数定义之后,使用这个宏进行注册:```cvoidinit_uart(void){//初始化UART}INIT_FUNCTION(init_uart);voidinit_spi(void){//初始化SPI}INIT_FUNCTION(init_spi);```这样,每个INIT_FUNCTION宏会创建一个指向该函数的指针,并将这个指针放入段`.init_array`中。由于我们使用了`KEEP`,链接器不会优化掉这些指针。**步骤3:在启动代码中调用**在启动代码中(如复位处理函数或main函数之前的初始化代码),添加以下代码来遍历并执行这些函数:```cexterninit_function_t__init_array_start[];externinit_function_t__init_array_end[];voidcall_init_functions(void){for(init_function_t*func=__init_array_start;func<__init_array_end;func++){if(*func){(*func)();}}}```然后在系统初始化时调用`call_init_functions`函数。**注意事项**:1.函数执行顺序:链接器按照目标文件中出现的顺序链接,因此函数指针在数组中的顺序可能与编译顺序有关。如果需要控制顺序,可以通过链接脚本中的输入段顺序来控制,或者使用优先级(如将段名改为`.init_array.0`、`.init_array.1`等,并在链接脚本中按优先级排列)。2.函数指针类型:确保所有初始化函数的类型一致(无参数、无返回值)。3.空指针检查:在遍历时检查空指针(虽然一般不会出现,但安全起见)。这种方法避免了手动维护函数指针数组,新增或删除初始化函数只需在函数定义处添加或删除宏调用即可。引用[1]中提到GCC将代码分为RO、RW、ZI段,我们这里定义的`.init_array`属于RO段(只读数据),因此放在FLASH中。###相关问题1.在STM32开发中,如何使用链接器脚本将变量分配到特定的内存地址(如SRAM的固定地址)?2.如何控制链接器脚本中自定义段内元素的顺序?3.在嵌入式系统中,除了初始化函数,还有哪些场景适合使用链接器脚本管理连续内存区域?4.使用链接器脚本管理函数指针数组与手动维护数组相比,有哪些优势和劣势?5.在C++中,如何利用构造函数特性实现类似的自动初始化功能?</think>### 使用链接器脚本管理函数入口地址的方法 在嵌入式开发中,通过链接器脚本将函数入口地址自动排列在连续内存空间,可以避免手动维护函数指针数组。以下是具体实现步骤: #### 1. **定义自定义链接器段** 在链接器脚本(.ld文件)中创建专用段,用于存放函数指针: ```ld SECTIONS { .func_table : { __func_table_start = .; KEEP(*(.func_entries)) __func_table_end = .; } > FLASH } ``` - `KEEP()`确保函数入口不被优化删除 - `> FLASH`指定段存储在Flash中(引用[1]的RO段概念) - `__func_table_start/end`提供段边界符号 #### 2. **标记目标函数** 在C代码中使用编译器属性将函数加入段: ```c void __attribute__((section(".func_entries"))) uart_init(void) { // UART初始化代码 } void __attribute__((section(".func_entries"))) spi_init(void) { // SPI初始化代码 } ``` GCC编译器会自动将函数指针存入`.func_entries`段(引用[1]的RO段机制) #### 3. **自动执行函数** 在初始化代码中遍历函数表: ```c extern void (*__func_table_start)(void); extern void (*__func_table_end)(void); void run_init_functions(void) { for (void (**func)(void) = &__func_table_start; func < &__func_table_end; func++) { (*func)(); // 执行函数 } } ``` #### 4. **集成到系统初始化** 在启动代码中调用执行: ```c void SystemInit(void) { // 标准初始化... run_init_functions(); // 自动执行所有注册函数 } ``` #### 优势分析 1. **动态管理**:增删函数只需修改函数声明,无需维护数组 2. **内存效率**:函数指针连续存储,节省寻址开销(引用[2]的内存管理原则) 3. **扩展性强**:支持跨文件函数注册 4. **启动自动化**:类似引用[3]的定时触发机制,实现初始化自动化 #### 注意事项 - **函数原型一致**:所有函数需为`void func(void)`类型 - **执行顺序**:链接器按目标文件顺序排列,可通过文件名控制 - **内存对齐**:在链接脚本中使用`ALIGN(4)`确保32位对齐 - **优化处理**:使用`__attribute__((used))`防止未调用函数被优化 > 此方法利用链接器的段管理能力,将分散的函数指针自动整合为连续数组,完美解决了手动维护函数表的问题。实际在STM32CubeIDE和ARM-GCC环境中验证有效[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值