Android 加壳与脱壳方式总结

介绍

说到加壳，之前接触的主要都是pc端的壳，当时的脱壳就是用的esp脱壳法，大概意思就是程序运行到将当前环境保存之后，在当前的esp指向的地址下硬件断点，然后再次运行到该点时，进行dump内存，即可（大概意思，好多年没弄过了，网上资料很多反正）。这个时通常的加密或者压缩壳的方式，还有类似vmprotect的虚拟机壳，就是用其他指令代替原有的指令从而达到反调试的技术。这个没研究过怎么破解，还有代码抽取技术，将部分关键代码抽取出来，具体也没了解过。。当时学的太粗浅了。现在主要搞Android方面的，看了非虫的新书，所以这里做个总结，首先介绍一下常见的壳的识别：

可以使用类似peid的工具，对文件的二进制进行识别，Android中工具是：apkid 需要安装yara，使用pip install apkid后，

命令行执行：$ apkid 文件名即可得到编译类型以及所加的壳。

压缩壳、加密壳：

这种第一代，开始时对dex和so加密，运行时或者加载后解密，通常会加一些反调试手段。

破解方式：

hook法：

直接hook dex2oat的函数，可以得到原始的dex，但是有些apk不再走系统默认的dex2oat函数了

缓存脱壳法：

早期会有一些壳，安装包是加密压缩了，但是安装后会在/data/dalvik-cache目录下生成解密的odex文件，只要取出来进行一下deodex即可。

内存dump法：

在运行后，dump出文件内容。工具是：android-unpacker

原理即通过/proc/pid/maps的内存映射表，找到dex起始位置，通过dump_memory()将dex dump出来。

动态调试脱壳法：

通过适当的点，在dex解密后dump，适当的点包括：dvmdexfileopenpartial；dexFileParse;memcpy(当第二个参数为DEX_OPT_MAGIC)时，并且这是一个不断更新的过程。之前还看过四哥写的一个函数是Dexclassloader

hook脱壳法：

其实原理就是动态调试，只是通过hook框架自动化实现了。

系统定制法：

修改android源码中的相关函数后刷机实现，也是一种自动化

指令抽取壳：

部分方法需要执行时动态解密。

防脱壳方式：

设置一些虚假函数，一旦调用自动退出程序

破解方式：

FART：针对art模式，调用所有方法后抽取dex

dalvik:f8left可破解，但是dalvik很多应用以及无法安装

保护壳：

多种方式保护，如代码抽取、执行前后解密又加密、多进程保护、反调试、反dump等

破解方式：

内存重组脱壳法：

通过内存中dex文件的格式，找到完整的dex文件，将其组合到一起。主要流程：libdvm.so->gDvm->userDexFiles->pEntries.isDex->pRawDexFile->pDvmDex->pDexFile。工具参照Cvvt编写的dumpDex脚本

https://github.com/CvvT/dumpDex

hook方式：

还是实现自动化的方式，断点为dvmCallMethodV；

系统定制法：

这里为了让所有代码全部解密，主动加载所有类，而后就变为全解密的dex了，通过dvmDefineClass实现，工具为DexHunter。

虚拟执行壳：

llvm pass 混淆壳，360壳就采用这种方式

类似vmprotect，大概有三种混淆方式：

1：指令替代：使用新的汇编级指令代替原有指令，造成逆向的困难，如a + b可替代为（a|b)+(a&b)等；

2：控制流平坦化

3：伪造控制流

还有修改控制流、伪造控制流等方式。

Android中使用的方式是llvm编译，开源库为：Obfuscator-LLVM

破解方式：

如上a+b，可以替换为多种指令，可以使用模式匹配的方式还原。

针对控制流修改，通过对比CFG,修改bl指令的执行。