OLLVM 混淆 + VMP 壳照样破!绕过加壳 SDK 的核心检测逻辑

最新推荐文章于 2025-09-22 19:05:33 发布
原创 最新推荐文章于 2025-09-22 19:05:33 发布 · 1.4k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #android #安卓逆向 #OLLVM #VMP #脱壳

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

前言

逆向目标是一个第三方 SDK,核心代码在 so 层,已知 so 有加壳。

调用入口是 *******************************************,会触发 libhexymsb.so 中的 token 和 time 检查方法,目标是绕过检查并成功调用 SDK。

Java 层代码逆向分析

通过 Frida hook 一下 目标类

/**
 * Hook 指定类的所有方法(每个方法所有重载)
 * @param {string} className - Java 类的完整名
 */
function hook_all_methods(className) {
    Java.perform(function () {
        var clazz = Java.use(className);
        var methods = clazz.class.getDeclaredMethods(); // 反射获取所有声明的方法

        var hooked = new Set(); // 用于避免重复 hook 相同方法名(因为多重载)

        methods.forEach(function (m) {
            var methodName = m.getName();

            // 如果这个方法已经 Hook 过,就跳过
            if (hooked.has(methodName)) return;
            hooked.add(methodName);

            try {
                hook_method(className, methodName);
            } catch (e) {
                console.error("❌ Failed to hook " + methodName + ": " + e);
            }
        });
    });
}


setImmediate(function () {
    hook_all_methods("*******************************************");
});

// frida -H 127.0.0.1:1234 -F -l hook_class_methods.js

得到日志如下:

================= HOOK START =================
🎯 Class: *******************************************
🔧 Method: hdic
📥 Arguments:
  [0]: com.superbock.App@48a2d8d
  [1]: com.superbock.ui.StartupActivity
  [2]: 1
📤 Return value: undefined
================== HOOK END ==================

调用的是一个 native 方法:public final native void hdic(Context context, String mainActivityClassName, int type);

word/media/image1.png

JNI 函数地址追踪

so 中并没有找到对应的 native 方法,说明是动态注册的。

word/media/image2.png

通过 jni_addr.py 脚本追踪一下目标类的 jni 函数地址

def main():
    class_name = "*******************************************"

    device = frida.get_device_manager().add_remote_device("127.0.0.1:1234")
    pid = device.get_frontmost_application().pid
    session: frida.core.Session = device.attach(pid)
    script = session.create_script(read_frida_js_source("jni_addr.js"))
    script.on('message', on_message)
    script.load()

    script.exports.getjnimethodaddr(class_name)

    # 退出
    session.detach()

具体参考:逆向 JNI 函数找不到入口?动态注册定位技巧全解析

得到日志如下,hdic 函数入口在 libhexymsb.so,偏移 0x37c3c 的位置

------------ [ #34 Native Method ] ------------
Method Name     : public final native void *******************************************.hdic(android.content.Context,java.lang.String,int)
ArtMethod Ptr   : 0x7d52b1bb38
Native Addr     : 0x7c682c4c3c
Module Name     : libhexymsb.so
Module Offset   : 0x37c3c
Module Base     : 0x7c6828d000
Module Size     : 335872 bytes
Module Path     : /data/app/com.demotestapp.test-9uO6vVLGXVJ71eZiJvIxYQ==/lib/arm64/libhexymsb.so
------------------------------------------------

so 反汇编代码分析

使用 IDA Pro 打开 libhexymsb.so 按 G 跳转到 0x37c3c ,再 F5 一下得到反汇编代码如下:

word/media/image3.png

反汇编代码分析:

1、参数准备逻辑

v15[2] = a3;
v15[3] = a4;
v15[0] = 0;
v15[1] = a2;
v15[4] = a5;

把 a2~a5 填入参数数组 v15,供后续解释器读取。a1 是 JNIEnv*,a2 是 jboject,a3 是 Context,a4 是 String,a5 是 int

2、结构体和 flag 设置

v11 = 0;
v12 = 257;
v14 = 0;
v13 = 1;

这些字节构成一个紧凑的 flag 结构,代表不同标志配置,可能是传递给 vmInterpret 函数的执行参数(例如:执行类型、安全等级、是否调试模式等)。

3、准备参数指针

v6 = &unk_24202;
v7 = 32;
v8 = v15;
v9 = &v11;
v10 = 0;

v6 是一个指针,指向 .rodata 段中的某个地址,由于 IDA 并不知道这块内存是什么类型,所以叫 unk_,即“未知类型”。

.rodata + 0x24202 是一个只读区域的地址,它的第一个字节是 0xC7。

.rodata:0000000000024202 C7                            unk_24202 DCB 0xC7                      ; DATA XREF: sub_37C3C+20↓o

这些变量构成一个参数结构体,最终会被传入:

return vmInterpret(a1, &v6, &off_46C50);

  • a1: JNIEnv指针。

  • &v6: 应该是所有参数结构组合的起始指针。

  • off_46C50: 通常是某个回调表或解释器指令表。

off_46C50 保存的是 sub_438F4 函数地址

.data.rel.ro:0000000000046C50 F4 38 04 00 00 00 00 00       off_46C50 DCQ sub_438F4                 ; DATA XREF: sub_33FF0+3C↑o

sub_438F4 函数地址反汇编代码如下:

word/media/image4.png

VMP 壳分析

使用 Frida Hook 一下 sub_438F4 函数并打印堆栈、参数和返回值

const libName = "libhexymsb.so";
const offset = 0x438F4;

function hookFunction() {
    let baseAddr = Module.findBaseAddress(libName);
    if (!baseAddr) {
        console.error(`❌ 找不到模块 ${libName}`);
        return;
    }
    let funcAddr = baseAddr.add(offset);

    console.log(`✅ Hooking ${libName} at offset 0x${offset.toString(16)} => ${funcAddr}`);

    let callCount = 0;

    Interceptor.attach(funcAddr, {
        onEnter(args) {
            this.callId = ++callCount;
            this.jniEnv = args[0];
            this.arg = args[1].toUInt32();

            this.log = [];
            this.log.push(`\n================== 🚀 Call #${this.callId} Start ==================`);
            this.log.push(`🧵 ThreadId: ${Process.getCurrentThreadId()}`);
            this.log.push(`🔹 JNIEnv*: ${this.jniEnv}`)
            this.log.push(`🔹 unsigned int a2: ${this.arg}`);

            // 可选打印调用栈
            let backtrace = Thread.backtrace(this.context, Backtracer.ACCURATE)
                .map(DebugSymbol.fromAddress)
                .join("\n    ");
            this
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
VMP(虚拟化高阶)免杀技术实现原理及案例
盾悟
10-13 1万+
摘要: VMP(Virtual Machine Protector)是一种通过代码虚拟化实现免杀的技术,其核心是将原生指令转换为自定义虚拟指令,由内置引擎动态解释执行。静态分析时,代码表现为无意义的字节流,绕过杀毒软件的特征码检测;运行时通过虚拟机还原原始逻辑。实现步骤包括:解析PE文件、替换指令为虚拟opcode、注入引擎、修改入口点(OEP)。示例中,原shellcode指令(如6A00)被替换为虚拟指令(如8A00),由引擎模拟执行,避免静态特征暴露。该技术依赖对汇编原理(如寄存器操作、跳转指令)的深
逆向VMP的基本思路
狂奔boy的博客
06-26 7545
逆向Android平台的时候,偶然发现了Profiler性能面板的CPU trace功能的妙用,启发了我逆向VMP的新思路
脱壳方法 vmp 各种脱壳经验
nn_84的博客
08-25 2455
vmp 我要说明一件事情 加了随机地址的vmp 是无法脱的 因为 入口地址会出问题 你脱 那么入口地址一定是固定的 这样就不可能正常 但没有随机的过程编程的程序 oep就是401000 连对象编程的程序 也是 401000 之所以 脱后不正常 是因为 把资源导入导出表 加密 但过程编程 只需跑完 virtualalloc 函数后 直接 转跳到 401000 就可以脱壳了。
手写 Android Dex VMP :自定义虚拟机 + 指令解释执行全流程
最新发布
09-22 1209
Android 安全领域,VMP(Virtual Machine Protection,虚拟机保护)一直被视为最难攻克的加固技术之一。它通过将 Dex 指令转换为自定义字节码,再由虚拟机解释执行,从而大幅增加逆向分析的门槛。带你一步步手写一个 Dex VMP 如何把 Java/Dex 转换为字节码指令流如何构建一个最小可用的解释器如何模拟寄存器、字符串池如何解析并执行典型指令(const-string、invoke、return 等)
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
VMP加壳
01-28
VMP加壳.exe
VMP 加壳工具v3.3.1
04-09
VMProtect 是一款高级版的程序加壳工具,可以有效地保护你的应用程序不被反编译,说明白点就是一个加壳工具,加壳后的应用程序体积变得更小,而且更加安全。
[C#] 代码混淆加壳
墨鱼菜鸡
05-26 1502
目的 对比不同的主流保护工具,针对 dnSpy 反编译出的效果。 非混淆代码: using System; using System.ComponentModel; using System.Drawing; usi...
Android 性能优化(六):启动优化的详细流程
csdn_aiyang的博客
03-27 5394
业内常见的app启动过程阶段一般分为「启动阶段」「首刷阶段」。启动阶段:指用户点击icon到见到app的首页,起点为的Activity的()。首刷阶段:指用户见到app的首页到首页列表内容展现起点为Activity的onCreate,终点列表的onAttachedToWindow()。为了确保启动优化量化指标的数据能稳定完整。启动过程中App退后台用户未登录场景特殊场景下的开屏广告,比如有复杂的联动动效站外push、deeplink拉起。
Die: 功能强大的压缩软件检测工具
标题中的“die超好的查软件”揭示了这款软件在查领域的优势地位。查是信息安全领域中的一项重要技术,主要用于识别分析可执行文件、动态链接库文件等二进制文件是否经过了加密或压缩处理,以及使用了哪种...
VMP原理
09-06 2003
总结vmp基础原理,大牛不要喷啊! 1.与传统的加壳工具不同,不是简单的把目标进行压缩、内存解压运行,而是修改目标源码,让目标的部分指令在vmp创建的虚拟环境下运行,虚拟环境中无操作数比较指令、条件跳转无条件跳转指令; 2.被修改替换的目标指令最终形成的字节码有前后相关性,即你改变其他任意一个字节会影响到所有被vm虚拟化的指令 3.vmp的虚拟机其实是一个字节码解释器,循...
VMP加壳工具
01-11
VMP加密分析工具,对于VMP的虚拟机原理有很好的帮助。
vmp内部打补丁.exe
08-02
说说软件的用途 支持对 vmp2.x-3.x 带内部打补丁 支持 exe 支持dll 本次更新 1.若干Bug 2.美化UI 3.增加了弹窗功能 4.增加DLL加载功能 5.增加偏移自动计算功能
手脱VMPvmp脱壳
04-03
手脱VMP 手脱VMP VMP vmp
VMP加壳加密工具
10-04
VMP加壳加密工具
VMP学习笔记之基础(一)
u014738665的博客
10-12 4385
【文章标题】: Vmp1.21学习笔记 【文章作者】: 黑手_鱼 【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载 【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位 【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------
vmp 实战经验
nn_84的博客
08-23 516
vmp 一些 虽然是虚拟 但这个有一个缺点 也就是去除了随机地址 所有程序入口地址都是 401000 程序就是这样排列的。对于vmp 对象编程加密的脱壳后无法正确运行 是因为资源被加密。
VMP 虚拟机(加壳原理)
hhd1988的专栏
04-29 1万+
获取途径 http://www.drmsoft.cn/reseller/vmp.asp 技术剖析 虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向修改的目的,这种指令也可以叫伪指令,VB的pcode有点类似。从本质上讲,虚拟指令系统就是对原本的x86汇编指令系统进行一次封装,将原本的汇编指令转换为另一种表现形式。 push uType push lpCaption push lpText push hWnd, call Message
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值