Android逆向之路---脱壳360加固

时间  2019-12-10
标签 android 逆向 之路 脱壳 加固 栏目 Android 繁體版
原文   原文链接

前言

众所周知,如今软件在防止逆向采起了混淆,加壳等措施。好比360加固,腾讯加固,梆梆加固等等。 这两天在逆向一款app的时候找到了一个不错的xposed插件推荐给你们,java

下载地址:点我下载android

前提环境

  • xposed
  • root过的android手机
  • dumpdex.apk文件(下载地址在上方)

自动脱壳

安装完成dumpdex.apk以后,在xposed里面软重启,激活。就行了。git

dumpdex

如今就能够脱壳了,咱们能够找一个已经被加固的app, 在此就不列举app的名字了。github

咱们点击app打开,这个时候WrBug会自动的帮咱们脱壳完成。 此时此刻咱们只须要去对应目录找dex文件就行了。json

路径如图:app

dumpdex

接下来就能够用adb pull命令将对应的dex文件取出,脱壳完毕。ide

xposed hook 360加壳后app注意事项

因为360加壳以后,更改了classloader,所以咱们用本来的classloader是会报类没法被找到的异常的。源码分析

不过咱们去分析源码便知道,咱们要先hook到360的classloader,再从360的classloader里面获取到app运行时的类。网站

360加固源码分析spa

类com.stub.StubApp

public class StubApp extends Application {
  private static boolean loadDexToC = false;
  private static boolean loadFromLib;
  private static boolean needX86Bridge;
  public static String strEntryApplication;
  private static Application ?�A = null;
  private static Application ??;
  private static String ??;
  private static Context ??;

  static
  {
    strEntryApplication = "com.qihoo360.crypt.entryRunApplication";
    ?? = null;
    ?? = "libjiagu";
    loadFromLib = false;
    needX86Bridge = false;
    throw new VerifyError("bad dex opcode");
  }
  //--------略--------
   private static Application ᵢˋ(Context context) {
        try {
            if (ᵢˎ == null) {
                ClassLoader classLoader = context.getClassLoader();
                if (classLoader != null) {
                    Class loadClass = classLoader.loadClass(strEntryApplication);
                    if (loadClass != null) {
                        ᵢˎ = (Application) loadClass.newInstance();
                    }
                }
            }
        } catch (Exception e) {
        }
        return ᵢˎ;
    }

  //--------略--------
}
复制代码

上面代码中有一个方法,这个方法的名称是乱码,你没看错,这个方法名称自己就是一串奇怪的字符,咱们须要Hook到这个方法,而后拿出classloader才能够

Hook代码以下

XposedHelpers.findAndHookMethod("com.stub.StubApp", lpparam.classLoader, "ᵢˋ", Context.class, new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    //获取到360的Context对象,经过这个对象来获取classloader
                    Context context = (Context) param.args[0];
                    //获取360的classloader,以后hook加固后的代码就使用这个classloader
                    ClassLoader classLoader = context.getClassLoader();
                    //替换classloader,hook加固后的真正代码

                    XposedHelpers.findAndHookMethod("com.alibaba.fastjson.JSON", classLoader, "toJSONString", Object.class, new XC_MethodHook() {

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            super.afterHookedMethod(param);
                            XposedBridge.log(TAG + "JSONObject");
                            XposedBridge.log(TAG + param.args[0].toString());
                            XposedBridge.log(TAG + param.getResult());
                        }
                    });
                }
            });
复制代码

这样就能够了

注意!!!

因为360加固版本也会更新换代,升级,变形,也但愿读者读到了这里能够本身思考。 今天是2018/12/13,若是你看到这篇文章的时间,360加固已经更新了N个版本,欢迎call我,一块儿来找到最新的破解办法。

网上目前流传不少其余办法,例如:

XposedHelpers.findAndHookMethod("com.qihoo.util.StubApp579459766", loadPackageParam.classLoader,
                    "getNewAppInstance", Context.class, new XC_MethodHook() {
                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            super.afterHookedMethod(param);
                            //获取到360的Context对象,经过这个对象来获取classloader
                            Context context = (Context) param.args[0];
                            //获取360的classloader,以后hook加固后的就使用这个classloader
                            ClassLoader classLoader =context.getClassLoader();
                            //下面就是强classloader修改为360的classloader就能够成功的hook了
                            XposedHelpers.findAndHookMethod("xxx.xxx.xxx.xxx", classLoader, "xxx", String.class, String.class, new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);
                                    Log.i(TAG, "密钥: " + (String) param.args[0]);
                                    Log.i(TAG, "内容: " + (String) param.args[1]);
                                   param.setResult((String) param.args[1]);
                                }
                            });
复制代码

上方的方法其实已是360加固16年的破解版本了, 如今是8102年了,还请读者自行辨析。

目前16年的版本已经无效了,请使用最新的方法

写在最后

技术瞬息万变,30年河东30年河西,但愿你们均可以抓住那些不变的东西,努力进取。

争取在每次浪潮来临之际,可以遇上每一波更新,加油!

注:感谢做者WrBug。

项目github地址以下:

点我点我

关于我

我的博客:MartinHan的小站

博客网站:hanhan12312的专栏

知乎:MartinHan01

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程