android 5.0.1 libdvm.so,Android逆向进阶—— 脱壳的奥义(基ART模式下的dump)
本文作者:i春秋作家HAI_ZHU
0×00 前言
市面上的资料大多都是基于Dalvik模式的dump,所以这此准备搞一个ART模式下的dump。
Dalvik模式是Android 4.4及其以下采用的模式,之后到了Android 5.0 之后就是ART模式,关于这两个模式的详细内容,请自行百度,如果在文章看不来的地方,可以翻翻之前的文章。如果有问题也可以私聊我。
废话不多说,直接上操作。
内容:demo 动态 dump 出 dex文件
环境说明
1.系统 小米 9.0
2.ida 7.0
0×01 demo 动态 dump 出 dex文件
1.启动ida 端口监听
1.1启动Android_server 服务
1.2端口转发
1.3软件进入调试模式
2.ida 下断
2.1 attach 附加进程
2.2 断三项
2.3 选择进程
2.4 打开Modules
搜索art
PS:小知识
Android 4.4版本之前 系统函数在libdvm.so
Android 5.0之后 系统函数在libart.so
2.5 打开Openmemory()函数
在libart.so中搜索Openmemory函数并且跟进去。
PS:小知识
一般来说,系统dex都会在这个函数中进行加载,但是会出现一个问题,后面说。
2.6 下断点
3.运行程序到下断处
3.1 jdb转发运行程序
3.2 查看IDA运行
成功下断,并且运行到我们下断的地方。
3.3 查看 dex的位置
打开寄存器窗口,可以看到R1就是我们的dex
然后在Hex窗口打开R1。
很明显就看到了dex文件的二进制结构。如果不明白可以看看之前的dex文件分析。
3.4 提取关键信息
第一个关键信息:地址偏移:0xF35CA328
第二个关键信息:文件偏移:70 35 01 00,转换一下就是 0×00013570
使用16进制加法器进行相加,F35DD898
4. dump
4.1 使用脚本进行dump
staticmain(void){ auto fp, begin, end, dexbyte; //打开或创建一个文件fp = fopen(“d:\\dump.dex”, “wb”); //dex基址begin= 0xF34C6320; //dex基址 + dex文件大小end= begin+ 0×00013570; for( dexbyte = begin; dexbyte < end; dexbyte ++ ){//按字节将其dump到本地文件中fputc(Byte(dexbyte), fp); }}
4.2 脚本dump run
脚本填写好了之后,点击run即可。
4.3 成功dump
0×02 后续
这里dump出来的dex还是和原来的dex有一些区别的,要进行一些修复才可以。关于修复的内容还在探讨中,如果有大佬路过指教一二,感激不尽。
android 5.0.1 libdvm.so,Android逆向进阶—— 脱壳的奥义(基ART模式下的dump)相关推荐
- oppor15android9版本,OPPO R15如何升级Android 9.0 OPPO R15升级Android 9.0详细教程
2018-05-11 16:32:50 OPPO R15如何升级Android 9.0 OPPO R15升级Android 9.0详细教程 标签:OPPO R15,OPPO R15 Android9. ...
- android 7.0 短信监控,Android 7.0 监听网络变化的示例代码
Android7.0前,Android系统前网络切换时,会发广播,业务只要监听广播即可. public class NetChangeReceiver extends BroadcastReceive ...
- Galaxy+note3+android+5.0,5.9寸+Android 5.0 Galaxy Note 4参数曝光
近些年,三星的旗舰机主要可以分为两条主线在发展,其中一条是三星Galaxy S系列,另外一条就是三星Galaxy Note系列,这两个系列的机型对于三星的发展可谓立下了汗马功劳. Galaxy Not ...
- nokia x7 android 9.0,诺基亚X7升级Android 9.0系统
3月13日,诺基亚正式向诺基亚X7推送了Android 9.0更新,更新版本号为2590.B03,数据大小312MB,所需空间为630MB.本次更新内容集中在Android 9.0.系统优化和拍照画质 ...
- android9叫什么名字,白猜这么多名字!谷歌Android 9.0正式发布:命名Android Pie
日前,谷歌对外公布了Android P的beta版,并向索尼Xperia XZ2.小米Mi Mix 2S.诺基亚7 Plus.Oppo R15 Pro.Vivo X21.一加6和Essential P ...
- android 4.0系统,全新Android 4.0系统_手机Android频道-中关村在线
与搭载Android 2.3系统的OPPO R807不同,OPPO R817搭载了Android 4.0系统.不过这款手机仍旧舍弃了Android系统的原生界面,因此两款手机在界面上的变化其实并不非常 ...
- Android 8.0(29)---Android 8.0 获取当前的activity
Android 7.0 &&7.1: adb shell dumpsys activity activities | findstr mFocusedActivity Android ...
- 一加3 android 8.0,一加3 android 8.0 启动uiautomator server失败
Versions (版本) Version: 0.1.3.dev26 Issue and steps to reproduce (复现步骤) 执行以下代码报错 phone = u2.connect(' ...
- android有什么作用,Android 7.0有什么功能 Android N完整功能参数介绍
类型:系统工具大小:1000M语言:中文 评分:10.0 标签: 立即下载 Android 7.0是安卓最近正在更新的一个版本,而其中也是有着很多的特性,在Android N的逐渐的曝光中,我们也是可 ...
最新文章
- 女程序员做编程也太难了吧! | 每日趣闻
- C# 【无法修改XX返回值,因为它不是变量】
- JavaFX UI控件教程(十二)之List View
- 前端学习(1933)vue之电商管理系统电商系统之优化树形控件
- mysql(1):修改数据库密码
- Let's Encrypt 申请通配符证书(使用DnsPod解析的域名操作)
- 强化学习工具Horizon开源:Facebook曾用它优化在线视频和聊天软件
- case结构条件语句
- php frameset不显示,php加载frameset页面时显示空白怎么办_后端开发
- vios support for power
- 番外7林芝·救赎之旅的最后一站——混合现实科幻《地与光》
- x=rn(n)傅里叶变换matlab,第三章 离散傅立叶变换
- linux安装系统如何查看硬盘,如何检查Linux系统服务器的硬盘是SSD还是HDD?
- Microsoft Edge安装扩展插件
- 湖北武汉劳务员证书劳务人员实名制的难点分析建筑七大员培训
- KaTex数学公式编辑器相关
- 2020-05-09
- 长沙市六中学生寒假社会实践活动在湖南智慧教育装备展示体验中心开展
- Java代码加密,Java加密方式,Java加密使用说明
- 【笔记】NAC配置过程