百度脱壳的一点尝试--人肉修复

最新推荐文章于 2021-11-02 16:07:46 发布
最新推荐文章于 2021-11-02 16:07:46 发布
阅读量1w 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Android 文章标签: 百度 apk脱壳 逆向分析 人肉修复 百度脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hk9259/article/details/47429285
本文介绍了作者在尝试脱壳百度apk过程中遇到的问题和解决方案,包括加壳前后对比、使用IDA远程调试的尝试以及采用DD大法进行内存dump。在DD大法中,作者详细讲述了如何修复dex头中的关键数据,包括offset和DataItem,以及在修复过程中遇到的挑战和难点,如onCreate函数的insns[]抹除问题。

前言

最近把研究dex的脱壳,顺便又是再次熟悉了一下dex的标准格式以及dex被解析后在内存中所存在的格式。自己上官网加了一个壳子,发现跑不起来。于是求助几个基友,最后样本是海总给的apk,很全面,带有Activity、Application、BroadcastReceiver、ContentProvider、以及Service。

0x1 加壳前后对比

这里写图片描述

加固后的文件列表变化:
新增一个so文件以及一个jar包:
libbaiduprotect.so
baiduprotect.jar
修改:
META-INF文件夹
AndroidManifest.xml
Classes.dex

0x2 IDA尝试

用IDA来远程调试,直接跑挂了。看来有反调试。
从壳入口Java层找到如下语句:

 static {
        if(!Debug.isDebuggerConnected()) {
            String v0 = Build.CPU_ABI;
            if(v0 != null && (v0.startsWith("x86"))) {
                StubApplication.loadX86Library();
最低0.47元/天 解锁文章

200万优质内容无限畅学
爬虫逆向脱壳工具 frida-dexdump 的使用详解
数据知道的博客
03-06 1万+
frida-dexdump 是一款基于 Frida 框架开发的强大工具,代码开源且操作简单。主要用于在运行时从 Android 应用中提取 DEX 文件(Dalvik Executable,安卓系统所使用的可执行文件格式),对于处理动态加载、加固等有壳保护的 Android 应用脱壳非常有效。在内存中转存dex文件,能脱大部分的壳。Frida-dexdump 通过 Frida 的 Hook 功能,动态脱壳 Android 应用的 Dex 文件。
Xdex(百度版)脱壳工具基本原理
01-18 512
【原创】Xdex(百度版)脱壳工具基本原理作 者:sherrydl时 间:2015-12-13,10:52:45链 接:http://bbs.pediy.com/showthread.php?t=206441学习移动安全快一年了,最近花了一些时间写了一个脱壳机(分百度版和通用版)。核心思想是:根据dalvik获取dex各个数据段的方式,我也用同样的函数去获取,然后一步一步去恢复成...
App解固脱壳方式
热门推荐
公过水蚊的博客
10-30 1万+
案例App:引力播 一、常见的壳 通常是看lib文件夹下so库特征,以下是市面上常见的不同厂商对APP的加固特征: 爱加密:libexec.so,libexecmain.so,ijiami.dat 梆梆: libsecexe.so,libsecmain.so , libDexHelper.so libSecShell.so 360:libprotectClass.so,libjiagu.so,libjiagu_art.so,libjiagu_x86.so 百度:libbaiduprotect.s
爬虫进阶(安卓逆向)加壳加固-脱壳方法-破解腾讯乐加固-破解app请求token(3)
稳稳C9的博客
07-04 4195
爬虫进阶(安卓逆向)加壳加固-脱壳方法-破解腾讯乐加固-破解app请求token(3)
手动百度脱壳
04-17
手动脱百度的壳,关于逆向破解百度加固过的app
android百度脱壳,[原创]百度加固逆向分析
weixin_39639505的博客
05-26 1320
最近一直在研究百度壳,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。下面开始:一、init_array我们发现init_array中存在多个函数地址,JNI_Onload为加密状态动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。之后遇到反调试崩溃退出。后来发现反调试检测了以下字段:android_servergdbserver...
使用内存dump脱百度
大郎的博客
10-26 2881
废话不说。 测试样本md5:67257EA2E9EC6B35C9E5245927980EEA 脱壳前样本: 0x01,首先使用ps指令查看进程 0x02,通过应用的进程号查看地址分布 0x03,前面的两个字段表示开始和结束地址,最后的字段映射文件名,现在要做的就是使用dd指令把最后一个dex文件dump出来 dd  if=/proc/56
百度加固逆向分析—dex还原--二代抽取壳
zhangmiaoping23的专栏
10-22 1775
上回说过要再写一篇文章,这里跟大家分享一下百度壳DEX的dump与修复。 下面开始: 一、如何获取dex 首先,我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个: dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体 dvmDexFileOpenPartial 从内存获取DexFil...
脱壳工具 NET-脱壳去混淆-de4dot-Reactor5.0 By ddk313
03-18
5. 使用de4dot-x64.exe 脱壳C# dll exe 文件: de4dot "d:\xx.exe" -p xc -p xc 指定壳类型 , 这里是xc,表示Xenocode壳. 这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件 要指定输出路径请使用 -o "d:\...
高手教你手动精确脱各种壳!
09-15
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!
万能脱壳工具
09-08
本工具适用于所有语言的应用程序的脱壳,方便、快捷。
【最新版】Zjdroid.apk脱壳工具
03-06
Xposed模块之Zjdroid脱壳工具(https://github.com/halfkiss/ZjDroid),已经编译完成。
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
02-16
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
加固脱壳详解
lg_1996的博客
09-04 1686
1.加固 apk是整个项目的源码和资源的结合体,对于懂点反编译原理的人可以轻松编译出apk的源码资源,并且可以修改资源代码、重新打包编译,轻轻松松变成自己的apk或者修改其中一部分窃取用户信息。所以,apk加固作用就是防止反编译此时显得尤为重要。 2.脱壳 虽然apk加固让软件的安全性更高了,但并不是无懈可击(一般加固的也很容易被脱壳获取源代码,比如360助手加固)。所以一些反加固脱壳技术应运而生,经过加固apk,反编译是无法直接获取到源码的,但是可以通过对a...
Android常见App加固厂商脱壳方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳 简述 Apk文件结构Dex文件结构壳史壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第一代壳常见的脱壳
android某加固脱壳(一)
小5
11-12 2309
先来一张图对比下:加固前和脱壳后dex文件比对: 对比结果发现:将原有的dex文件头抹除,保留其它区段。将一个新的将“壳”的dex文件放到抹除文件头部分,在修复dex文件校检相关参数。(没仔细研究这个壳给出的步骤直接从Ida中拿到修复后的文件。) 首先查看:lib/armeabi/或x86文件夹下多了一个so文件libshella-0.0.0.so或libshellx-0.0.0.so:拖入I
记一次APP去壳破解重新打包
qq_36484670的博客
11-02 1万+
1.拿到apk包时,第一步先判断是否加壳,加的是什么壳 在手机上或者虚拟机上用MT管理器找到对应的apk包 可以看的这个包虽然说是未加固,但还有个伪百度加固,其实也就是加了百度的壳的 2.利用BlackDex32进行去壳 在手机或虚拟机上安装BlackDex32,在软件中选择你要去壳的APP(ps:要先把apk安装上,不然找不到), 在软件中可以指定去壳后的文件存储路径,到对应位置下找到apk的包名即可找到去壳后的dex文件 3.回到MT管理器,打开脱壳的后dex与未脱壳的dex进行比较 未脱壳的:
常见App加固厂商脱壳方法研究
煜铭2011
10-04 5210
目录 简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳 简述 Apk文件结构Dex文件结构壳史壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第一代壳常见
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值