Android逆向之路---脫殼360加固
前言
眾所周知,現在軟體在防止逆向採取了混淆,加殼等措施。比如360加固,騰訊加固,梆梆加固等等。 這兩天在逆向一款app的時候找到了一個不錯的xposed插件推薦給大家,
下載地址:點我下載
前提環境
- xposed
- root過的android手機
- dumpdex.apk文件(下載地址在上方)
自動脫殼
安裝完成dumpdex.apk之後,在xposed裡面軟重啟,激活。就好了。
現在就可以脫殼了,我們可以找一個已經被加固的app, 在此就不列舉app的名字了。
我們點擊app打開,這個時候WrBug會自動的幫我們脫殼完成。 此時此刻我們只需要去對應目錄找dex文件就好了。
路徑如圖:
接下來就可以用adb pull命令將對應的dex文件取出,脫殼完畢。
xposed hook 360加殼後app注意事項
由於360加殼之後,更改了classloader,因此我們用原本的classloader是會報類無法被找到的異常的。
不過我們去分析源碼便知道,我們要先hook到360的classloader,再從360的classloader裡面獲取到app運行時的類。
360加固源碼分析
類com.stub.StubApp
public class StubApp
extends Application
{
private static boolean loadDexToC = false;
private static boolean loadFromLib;
private static boolean needX86Bridge;
public static String strEntryApplication;
private static Application ??A = null;
private static Application ??;
private static String ??;
private static Context ??;
static
{
strEntryApplication = "com.qihoo360.crypt.entryRunApplication";
?? = null;
?? = "libjiagu";
loadFromLib = false;
needX86Bridge = false;
throw new VerifyError("bad dex opcode");
}
//--------略--------
private static Application ?ˋ(Context context) {
try {
if (?? == null) {
ClassLoader classLoader = context.getClassLoader();
if (classLoader != null) {
Class loadClass = classLoader.loadClass(strEntryApplication);
if (loadClass != null) {
?? = (Application) loadClass.newInstance();
}
}
}
} catch (Exception e) {
}
return ??;
}
//--------略--------
}
上面代碼中有一個方法,這個方法的名稱是亂碼,你沒看錯,這個方法名稱本身就是一串奇怪的字元,我們需要Hook到這個方法,然後拿出classloader才可以
Hook代碼如下
XposedHelpers.findAndHookMethod("com.stub.StubApp", lpparam.classLoader, "?ˋ", Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
//獲取到360的Context對象,通過這個對象來獲取classloader
Context context = (Context) param.args[0];
//獲取360的classloader,之後hook加固後的代碼就使用這個classloader
ClassLoader classLoader = context.getClassLoader();
//替換classloader,hook加固後的真正代碼
XposedHelpers.findAndHookMethod("com.alibaba.fastjson.JSON", classLoader, "toJSONString", Object.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
XposedBridge.log(TAG + "JSONObject");
XposedBridge.log(TAG + param.args[0].toString());
XposedBridge.log(TAG + param.getResult());
}
});
}
});
這樣就可以了
注意!!!
由於360加固版本也會更新換代,升級,變形,也希望讀者讀到了這裡可以自己思考。 今天是2018/12/13,如果你看到這篇文章的時間,360加固已經更新了N個版本,歡迎call我,一起來找到最新的破解辦法。
網上目前流傳很多其他辦法,例如:
XposedHelpers.findAndHookMethod("com.qihoo.util.StubApp579459766", loadPackageParam.classLoader,
"getNewAppInstance", Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
//獲取到360的Context對象,通過這個對象來獲取classloader
Context context = (Context) param.args[0];
//獲取360的classloader,之後hook加固後的就使用這個classloader
ClassLoader classLoader =context.getClassLoader();
//下面就是強classloader修改成360的classloader就可以成功的hook了
XposedHelpers.findAndHookMethod("xxx.xxx.xxx.xxx", classLoader, "xxx", String.class, String.class, new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
Log.i(TAG, "密鑰: " + (String) param.args[0]);
Log.i(TAG, "內容: " + (String) param.args[1]);
param.setResult((String) param.args[1]);
}
});
上方的方法其實已經是360加固16年的破解版本了, 現在是8102年了,還請讀者自行辨析。
目前16年的版本已經無效了,請使用最新的方法
寫在最後
技術瞬息萬變,30年河東30年河西,希望大家都可以抓住那些不變的東西,努力進取。
爭取在每次浪潮來臨之際,能夠趕上每一波更新,加油!
註:感謝作者WrBug。
項目github地址如下:
點我點我
註:如果希望知道該軟體的原理的話可以移步這裡
MartinHan01:Android逆向之路---脫殼360加固原理解析
關於我
個人博客:MartinHan的小站
博客網站:hanhan12312的專欄
知乎:MartinHan01
我的公眾號: 程序技術指北
(剛開不久,最近在琢磨新東西,謹慎關注!)
你要是看到了一個變形的海綿寶寶,就是他了
推薦閱讀: