如何脱掉“梆梆加固”的保护壳

最新推荐文章于 2025-05-24 08:36:35 发布
转载 最新推荐文章于 2025-05-24 08:36:35 发布 · 4.6k 阅读 · 3
文章标签:

#zs

一、jadx分析
1.在source code中的包名看到是梆梆加固(得先脱壳了)
这里写图片描述

(哦!receiver可以用来提示请求获取permission)

2.清单文件看到利用了设备管理器权限,来强制修改了系统密码来做的,我们通过打开软件也可以确定这点:
这里写图片描述
看到了,他申请了设备管理器权限,而这个权限用过的同学都知道,当获取到这个权限之后可以控制这个设备了,包括修改系统密码。而这个软件也是利用这个权限来做到锁机的。

注意:对于这个权限还有一个重要作用,就是可以防止应用被卸载,现在很多应用为了防止自己被用户无情的卸载了,就用这个权限,可以看到这个应用申请了这个权限之后,卸载页面:
这里写图片描述
是不可以卸载的。从Android系统来说这个也是合乎情理的,因为这个应用具备了设备管理器权限如果能被卸载那是不可能的。所以有一些应用就利用这个功能来防止被卸载。

二、脱壳工具DexExtractor原理分析

先介绍如何脱掉梆梆的壳,因为如果这个壳不脱掉,没法分析他的恶意锁机的解锁密码。

本文借助一个脱壳工具DexExtractor,这个工具是开源的:这里写链接内容,这里给出了修改源代码。其实他的原理也很简单,就是修改系统的DexFile.cpp源码,在解析dex的函数开头处加上自己的dumpdex逻辑:
这里写图片描述
这里的DexHacker就是他自己定义的,这里的dexFileParse就是系统解析dex函数,从参数可以看到,有dex文件数据,大小等信息。所以就可以把这个dex文件弄出来了。然后修改完了这个系统的DexFile文件之后,需要将其编译到system.img镜像中,然后刷到手机中即可。
原来是修改了系统解从析dex文件的源码,进而脱壳
所以,从上面的原理可以了解到,他其实和我们之前用IDA动态调试的原理非常类似,脱壳就是一点:不管之前怎么对dex加密,最终都是需要解密加载到内存中的。所以只要找到加载dex这个点即可。那么这种方式和之前调试的方式有什么区别呢?

A、动态调试方便,无需其他限制,但是遇到反调试就会很难受了。得先解决反调试才可进行下一步脱壳。
B、刷入system.img这种方式可以不用关心反调试,但是条件太苛刻,使用成本较高。对于不同系统版本还要准备不同版本的system.img文件,然后将其刷到设备中。

1、可以选择刷入system文件
针对上面的这种条件的限制,我们有一种好的方式可以解决,就是借助模拟器,这样就不需要繁琐的将system.img刷到设备中了,可以将编译之后的system.img文件替换对应系统版本的模拟器镜像文件即可。然后重启模拟器。
2、可以选择替换系统libdvm.so文件
当然我们不刷机也是可以的,大神给出了编译之后的libdvm.so文件(他包含了DVM中所有的底层加载dex的一些方法),其实只要编译修改后的libdvm.so文件,然后替换设备的system/lib目录下的libdvm.so文件即可,不过设备需要root,这种方式比上面的刷机system.img方便。
注意:libdvm.so文件包含了DVM中所有的底层加载dex的一些方法;libdvm.so在设备的system/lib目录下
三、DexExtractor工具使用条件
上面讲解了DexExtractor工具的原理,下面详细介绍他的用法。其实他的用法也很简单,把他的源码下载下来后,他还有一个解密工程DexReverse,这个是一个Java工程,为了解密dump出的dex文件的。那为什么要解密呢:还有这个工具dump出的dex文件在哪?下面就来详细介绍:
这里写图片描述
注意:strcat()
将两个char类型连接。
char d[20]=”GoldenGlobal”; char *s=”View”; strcat(d,s);
结果放在d中
printf(”%s”,d);

sprintf指的是字符串格式化命令,主要功能是把格式化的数据写入某个字符串中。返回写入的字符个数。

看到DexHacker这个文件中,会将dex文件保存到sd卡中,而每个应用启动的时候都是在一个进程中创建一个虚拟机,所以这里如果想让这个工具可以dump出应用的dex文件,需要给这个应用添加一个写sd卡的权限:

这个比较简单,咱们可以利用apktool反编译应用,在AndroidManifest.xml添加这个权限,在回编译即可。

那么dump出dex文件之后为何还要解密呢?这个主要是为了对抗加固策略:

现在一些加固平台,比如梆梆加固,会对dex的内存dump脱壳进行检测,具体的就是hook修改当前进程的read、write读写相关的函数,一旦检测到read,write读写相关的函数的操作中有对dex文件的dump行为会有对抗的处理,防止dex的内存dump,因此呢,DexExtractor脱壳工具的作者为了过掉这种内存dump的对抗,需要先将原始的dex文件数据进行base64加密然后进行写文件到sdcard中进行输出,当pull导出拿到base64加密的dex文件时还需要进行base64的解密才能获取到原始的dex文件。这个解密工具也在工具目录下Decode.jar,用法java -jar Decode.jar dexdir;这里需要注意的是,dexdir是我们pull出dex之后的目录,记住是目录,不是对应得dex文件哦!
四、DexExtractor工具使用步骤
到这里分析完了DexExtractor工具的原理,使用条件,使用步骤了,下面实践:

第一步:替换system.img文件

用上面修改之后的system.img文件替换4.4的system.img文件,文件目录:AndroidSDK目录\system-images\android-19\default\armeabi-v7a\system.img

最好把之前的system.img文件进行改名备份。然后启动模拟器即可。

第二步:添加写SD卡权限

上面说到了,因为这个工具需要将dump出的dex文件写到SD卡中,所以我们需要检查脱壳应用是否具备写SD卡权限,我们用Jadx工具打开这个应用,发现没有,所以我们需要用apktool工具反编译,然后在AndroidManifest.xml中添加,然后在回编译重签名即可。

第三步:安装应用观察日志

安装应用到模拟器,因为是模拟器,可能操作比较麻烦,所以这里需要借助两个命令可以完美的安装启动应用即可,一个是adb install xxx.apk,安装成功之后。

在启动应用:adb shell am start -n tx.qq898507339.bzy9/tx.qq898507339.bzy9.MainActivity

无需任何界面操作即可完成启动应用,然后查看这个包名对应的日志信息,日志tag是dalvikvm:

这里写图片描述

在这些日志中可以看到脱壳之后的dex文件放在sd中,咋们把这个文件pull出来即可:

adb pull /sdcard/tx.qq898507339.bzy9_classes_927104.dex D:\DexExtractor\

这时候我们离成功就不远了,得到了脱壳后的dex文件了,但是我们还需要进行解密。

注意:这里记得观察“create file end” 字段内容,有的应用可能内部本身有加载dex的逻辑,所以这里会发现有多个dex文件的产生,不过没关系,可以把所有的dex文件都导出本地,然后分析即可。

前面说过了,为了应对现在加固平台的检测,DexExtractor工具将dex进行加密了,可以利用Decode.jar工具进行解密:java -jar Decode.jar D:\DexEctractor\

jadx和dex2jar转化的时候报错了,说这个dex是odex文件。关于odex格式文件不多解释了,可自行搜索哈。jadx现在还不能识别odex文件的,这里好奇用IDA打开一下,发现竟然可以成功,所以IDA还真强大哈!

第四步:odex文件转化成dex文件
但是咋们用jadx用惯了,所以还是想用jadx打开它,其实我们只需要将odex转化成dex即可,这里借助了smali.jar工具了,我们先用baksmali.jar将odex文件反编译成smali文件,然后在用smali.jar将smali文件编译成dex文件即可。这两个工具用法比较简单:

把c:\classes.dex反编译为smali,输出到c:\classout目录

java -jar baksmali-2.0.3.jar -o c:\classout/ c:\classes.dex

把c:\classout目录下的smali文件编译为c:\classes.dex
java -jar smali-2.0.3.jar c:\classout/ -o c:\classes.dex

就用上面这两个工具可以把odex文件变成dex文件,然后在用jadx工具打开即可:
这里写图片描述

在前面查看xml文件中可以找到设备管理器声明的类jh
这里写图片描述
这里直接查看源码,果然当获取到设备管理器权限之后,立马将锁屏密码设置为:>>>qq 898507339 bzy>>> ,然后立即锁屏。锁屏之后,你不能通过重启来解决,因为这种恶意软件肯定监听到了开机广播:
这里写图片描述

所以这时候,受害者只能通过提示来进行付费解锁了。或者自己刷机操作了。付费的逻辑比较简单,通过加qq,然后恶意者会让你付费,给完钱之后他会用电话号码:18258614534,给你发送一条短信,代码中监听到有这条短信就自动解锁,也就是将锁屏密码清空即可:
这里写图片描述

总结:
1.由jadx在source code看到“梆梆加固”;
2.运行会看到请求“设备管理器权限”,并在清单中看到receiver的jh类中有申请“设备管理器权限”;
3.使用大神的开源工具获取dex;
3.1由源码知道需要获取sdcard的写权限
3.2获取的dex是先进行base64加密的,是对抗加固方的dex文件读写检查,所以得到的dex需要再解密,实践证明不能直接使用;
3.3得到的是odex文件需要baksmali然后smali回得到dex文件;
3.4再使用jadx得到java文件;
3.5看到是获取到权限后直接锁机,并且加入了重启广播;
3.6收到某某号码的短信后就清楚锁机。

Apk脱壳圣战之---脱掉梆梆加固”的保护
尼古拉斯.赵四的博客
04-18 4556
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会...
12306之梆梆加固libsecexe.so的脱壳及修复
燕十二的BLOG
12-04 1万+
12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此so做一个脱壳的分析 (一)、so脱壳 此so的最先执行点在init_proc init_func负责对so进行解密 解密后,可以看到如下字符串 在IDA里找到相关的位置,可以看到如下代码: 解密函数即红框的位置。 hook该函数,让其打印出
一个基于xposed和inline hook的一代脱壳工具
07-03
http://blog.youkuaiyun.com/zhangmiaoping23/article/details/74164657 原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hook的时机,大部分的都是在attachBaseContext这个方法里面去完成代码的解密。所以呢,我们就去hook Application的attach方法,在这个方法执行之前,将我们的动态库加载起来,动态库里面实现的就是对art::DexFile::OpenMemory方法的劫持。这样的话在他解密代码前art::DexFile::OpenMemory就已经被我们给控制了,所以就可以为所欲为了。这里要感谢ele7enxxh提供的Android-Inline-Hook来让我可以对native层的hook。
18款脱壳软件集锦:助力高效逆向工程与软件分析
最新发布
gitblog_06730的博客
05-24 1622
18款脱壳软件集锦:助力高效逆向工程与软件分析 去发现同类优质开源项目:https://gitcode.com/ 项目核心功能/场景 18款脱壳软件集锦,全面应对TMD、UPX等加工具,协助分析exe和dll文件。 项目介绍 在当今软件安全和逆向工程领域,加技术被广泛使用以保护软件免受非法篡改。然而,对于研究人员和开发者来说,分析和研究加软件的内部结构同样重要。18款脱壳软件集锦应运而生,它...
脱壳之常用的加固样本特征
AdrianAndroid的专栏
03-30 1651
主要看assets文件夹和lib文件夹。
某梆企业版加固脱壳及抽代码还原方法
热门推荐
燕十二的BLOG
04-15 2万+
某梆加固企业版还是会调用系统的dvmDexFileOpenPartial 接口,因此可以这里添加hook                          51df6008-52cd50__unpackedDex.dmp即是dump出来的dex,拖到jeb里,可以看到这些函数都是空的                汇编显示,大片的指令都为nop,这些指令都被抽掉了,执行之前才会还
Apk脱壳圣战之---如何脱掉梆梆加固”的保护
云守护的专栏
02-22 4841
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关
APK脱壳之—如何脱掉梆梆加固”的保护
白帽子九一
04-18 1万+
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会给出下载地址,从名字可以看到它肯定不会是一个恶意软件,但是当我们安装的时候,并且激活它的权限之后就完了。下面不多说了,直接用
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-02
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
Apk脱壳圣战之---如何脱掉 梆梆加固保护
qq_44906504的博客
04-25 1921
Apk脱壳圣战之---如何脱掉 梆梆加固保护
梆梆企业版加固防篡改相关文件
12-07
梆梆企业版加固防篡改相关文件主要关注的是移动应用的安全保护,特别是在Android平台上。梆梆(Baidu BabelSafe或BBK)是一家提供应用程序安全服务的公司,其企业版加固服务旨在保护开发者的应用程序不被逆向工程...
360、爱加密、梆梆辅助工具
04-01
DroidSword快速锁定具体的方法类名、FDex2_1.1去获取dex、GDA3.62查看去后的源代码
通用脱壳工具
04-18
下面是我粗略测试后,能通过的列表,对于保护,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061、107b、1082、1083、1084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.1、1.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.3、1.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.1、1.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.1、1.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.1、1.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.11、1.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.03、1.04、1.25w、2.0w、2.02、2.03、3.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
RL!dePacker1.4汉化版(一款自动脱壳工具).
05-03
RL!dePacker1.4汉化版(一款自动脱壳工具).zxwmol
某梆企业版加固脱壳及抽代码还原方法--dvmResolveClass
zhangmiaoping23的专栏
10-29 7838
原文链接:https://blog.youkuaiyun.com/justFWD/article/details/51164281 某梆加固企业版还是会调用系统的dvmDexFileOpenPartial 接口,因此可以这里添加hook 51df6008-52cd50__unpackedDex.dmp即是dump出来的dex,拖到jeb里,可以看到这些函数都是空的 汇编显示,大片的...
梆梆加固脱壳解密sign
AMarin的博客
10-04 3424
2023.10梆梆免费版脱壳
利用梆梆加固逻辑漏洞取巧脱壳
DaoDivDiFang的博客
11-07 5475
首先要道个歉,之前要发的进程注入,开发hook框架、插件化等技术,因为原公司产品还在使用,暂时是不能开源了,还是食言了。   抽空看了几家加固的应用,做了个通用脱壳机(轻量化,只需要进程注入埋点,全Java层即可,可以不依赖hook框架,当然我为了方便使用的我自己写的hook框架。类似dexhunter以及一些修改源码、编译系统的方式太重了),暂时除了梆梆函数级加密,其他加固的抽取字节码的只要...
XposedZjDroid脱壳梆梆加固
qq_34108752的博客
09-13 4232
环境 : 这里我的手机是 开启了 全局调试模式 首先让 手机开启 全局调试模式 如果已开启 则不管 第一部分: 1:安装 ZjDroid.apk 模块到手机 2:Xposed 上安装好 ZjDroid.apk 模块 然后 软重启 第二部分: 1: 打开 monitor 如果已开启全局调试模式 则会在 设备栏 后面显示 debug 2: LogCat 过滤栏 + Filter N...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值