【Android 逆向】脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )

文章目录

• 一、DEX 整体加壳
• 二、函数抽取加壳
• 三、VMP 加壳
• 四、Dex2C 加壳
• 五、Android 应用加固防护级别

一、DEX 整体加壳

DEX 整体加壳 就是将 完整的 DEX 文件 , 进行加密 , 只保留一个壳应用 , 应用执行时 , 壳应用解密 DEX 文件 , 然后执行解密后的 DEX 文件 ;

DEX 整体加壳 比较容易进行 脱壳 , 可以通过 文件加载 和 内存加载 两种方式进行脱壳 ;

• 文件加载 : 加密的 DEX 文件需要进行解密 , 而且 解密后的 DEX 文件肯定要存放在某个文件中 , 通过定位该解密会后的文件 , 即可获取 DEX 文件 ; DEX 文件打开后 , 需要进行 优化 , 会产生 odex , dex2oat , oat 文件等 ;
• 内存加载 : 加载到内存中的 DEX 文件是完整的 , 在合适的加载时机 , 得到 DEX 文件内存的起始地址 , 直接 使用 adb shell dump 命令 , 将内存中的 DEX 文件 DUMP 下来即可 ;

二、函数抽取加壳

函数抽取加壳方案中函数解密时机 :

• 加载执行前解密 : 在 类加载 和 函数执行前 将 抽取的函数进行解密 ;
• 动态解密 : 函数执行过程中 , 进行 动态解密 ;

函数抽取 的 脱壳方案 :

加载到内存中的 DEX 文件中 , 函数体是空的 , 但是在 类加载操作 , 和 函数执行前 , 必然需要将完整的类加载到虚拟机中 , 被抽取的函数在该时机进行解密 , 此时可以获取到完整的函数 ;

在 函数执行中 , 执行到对应的函数时 , 会动态地进行对应函数的解密 , 解密后到函数执行完毕之前 , 可以获取到完整的函数内容 ;

被抽取的函数 , 总要执行 , 执行前必须进行解密 , 可能执行完毕之后 , 函数可能又要加密回去 , 因此这个 抓取真实函数的时机 需要把握好 ;

三、VMP 加壳

VMP 脱壳方案 : VMP 壳的脱壳方案的核心是定位 VMP 自定义 " 解释器 " , 找到 解释器 中 Smali 指令的映射关系 , 才可以进行恢复 ;

核心是解释器 ;

四、Dex2C 加壳

Dex2C 壳 是根据 编译原理 , 通过 词法 句法 分析 , 将 Java 代码 进行了 等价的语义转换 , 转为了 C 代码 , 基本无法完全恢复为 Java 代码 ;

核心是 关注 Native 中的 jni.h 中相关函数的调用 ;

五、Android 应用加固防护级别

Android 应用加固防护等级 :

• 初级防护 : DEX 整体加壳
• 中级防护 : 函数抽取
• 高级防护 : VMP 和 Dex2C