360加固之libjiagu.so脱壳及dex dump

最新推荐文章于 2025-04-27 22:48:45 发布
最新推荐文章于 2025-04-27 22:48:45 发布
阅读量2.9w 收藏 22
点赞数 9
CC 4.0 BY-SA版权
分类专栏: Android逆向 文章标签: 360 加固 libjiagu.so dex dump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justFWD/article/details/49886585

       360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex


       libjiagu.so

最低0.47元/天 解锁文章
安卓逆向 (最新360脱壳过反调试!)
you6666yy的博客
01-17 2018
安卓逆向 (最新360脱壳过反调试!) p一下直接加载libjiagu.so 然后直接跳转jni—onload下段 看到他的跳转指令 看看里面得内容 最终发现这个函数里面有个逻辑 就是反调试得一个点 进入这个函数 他里面只有一个函数 我们跟进去 这里也只有一个函数 我们跟进看看 这里他走完之后会跳到下面得 分支语句我们调了好几遍最终确认他的反调试得点就在31分支 这次我们直接进去 ...
360加固libjiagu.so dump修复
燕十二的BLOG
11-20 1万+
一、elfheader修复 dump出来的内存如下图所示,elf header结构有缺失 下面是正常elf头的对比图 下面是010editor对正常elf header的解析     由上图可知,dump出来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。    不过这里缺失的,除了e_shoff, e_shnum, e_sh
使用 Dex2C 加壳保护 Android APK 代码
最新发布
04-27 973
因为 jarsigner 只能生成老的 v1 签名,apksigner 支持 v1/v2/v3/v4 新版签名,才能确保 APK 在 Android 7.0 及以上系统正常、安全安装。首先在 app 代码合适的位置,如 Application 的静态代码块或 onCreate 等,添加加载 so 库代码,并重新生成 apk。project-source.zip 是个 jni 工程,里面包含我们编译出来的 C 代码,解压出来后可以直接使用 ndk 编译。
360加固保的dex脱壳方法
Fly20141201. 的专栏
11-13 1万+
360整体加固classes.dex后的apk程序的特点,以超信1.1.4版本为例。360加固以后,会在apk的assets文件的路径下增加两个文件libjiagu.solibjiagu_x86.so以及修改原apk的AndroidManifest.xml文件的application标签增加两个元素。 360加固脱壳需要完成两个任务,一个任务是过掉3
Android so加固简单脱壳代码
09-27
Android so加固的简单脱壳,也是Android ELF文件格式学习不可不学习的知识内容,想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。
Android常见App加固厂商脱壳方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳 简述 Apk文件结构Dex文件结构壳史壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第一代壳常见的脱壳
360加固后apk打不开
Me_Ordinary的专栏
12-07 532
java.lang.UnsatisfiedLinkError: JNI_ERR returned from JNI_OnLoad in "/data/data/包名/.jiagu/libjiagu.so" 解决方案: 加固前后签名文件保持一致即可
12306之梆梆加固libsecexe.so脱壳及修复
燕十二的BLOG
12-04 1万+
12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此so做一个脱壳的分析 (一)、so脱壳so的最先执行点在init_proc init_func负责对so进行解密 解密后,可以看到如下字符串 在IDA里找到相关的位置,可以看到如下代码: 解密函数即红框的位置。 hook该函数,让其打印出
常见android app加固厂商脱壳方法研究
08-28
dex动态加载是通过动态加载dex文件来脱壳.so加固是通过加固so文件来脱壳dex字符串加密是通过加密dex文件中的字符串来脱壳。 五、第四代壳脱壳方法 第四代壳脱壳方法主要是通过arm vmp来脱壳。arm vmp是通过使用...
【安卓逆向】360加固-脱壳修复
热门推荐
YJJYXM的博客
10-08 2万+
最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了壳代{过}{滤}理,没有一点原APK的代码。在assets中,有两个壳相关的SO: 尝试从内存中DUMP原cla...
so文件反编译_【安卓逆向】360壳过反调试+dump dex文件以及简单修复
weixin_39779975的博客
12-05 535
mmap函数下段,然后F9运行断下,然后F8往下,一直运行到这里:F7进来,在R2寄存器这里打一个断点:F9运行到这里,然后F7进来;F8往下走,这里有比较指令:这个函数的返回值在R0里面存储,(可以直接把光标放在cmp那条指令然后F4跳过去 )把R0置零:置零之后呢,F9:再一次F8:继续在mmap函数末尾断下,然后继续F8:来到这里:紧接着F9,继续来到mmap然后继续F8:发现还是libc....
android zbar so库包含64、32位,jar包
09-23
android Zbar 含64、32位so库、jar包等,由于不会编译,智能拿来,全在csdn,积分太高买不起,积分定1分,分给想用而没有积分的
APP加固dex解密流程分析
2503_90751789的博客
03-03 1393
这个加固壳和常规的加固方案类似,也是壳DEX->壳ELF->主ELF->主DEX这样的过程,其中壳ELF解密主ELF所用到的算法是RC4和uncompress,壳ELF加载主ELF所用到的技术是自实现linker加固so当然这个加固壳还有许多值得继续研究的地方,例如分发so函数的vmp其内部逻辑究竟是什么样子呢?native化的onCreate函数,dex2c的原理究竟是什么呢?这些都还有待探索,就把它们交给时间和未来的不眠之夜吧月遇从云,花遇和风,今晚上的夜空很美。
Android各代加固总结
weixin_42454310的博客
03-14 2309
本文简单地总结了一下Android加固的背景和发展历史,也介绍了一些目前常见的脱壳工具。对于so加密的情况,目前也有许多方法应对,比如ida动态调试dump内存中的so,GG模拟器dump内存,frida dump so,unidbg等等。对于混淆的so,也有jnitrace,unidbg,还有hluwa大佬的大作obpo等工具辅助我们分析。除此以外还有还有一些优秀的脱壳工具如Fart等,我也没有再做介绍了。如有问题可关注公众号:移动安全星球。
根据”so劫持”过360加固详细分析
雪一梦的博客
01-06 3635
参考:https://bbs.pediy.com/thread-223699.htm http://blog.csdn.net/luoshengyang/article/details/8923483 一:思路分析:     一个经过360加固的APK的运行过程应该为图中左边所示,在以上这种so劫持的思路为:第一步通过hook loadlibrary方法先加载自己的so,即:libh
Android Apk加固厂商特征,Apk加固哪家强?
键盘的起始页
12-25 5780
一、Apk加固厂商特征(apk包含以下一个或多个文件) 爱加密 libexec.so, libexecmain.so,ijiami.dat 娜迦 libchaosvmp.so , libddog.solibfdog.so 梆梆 libsecexe.so, libsecmain.so 梆梆企业版 libDexHelper.so , libDexHelper-x86...
Xposed+DumpDev/FDex2安卓脱壳
qq_41945550的博客
08-10 5077
安卓脱壳 工具,环境 dumpdex+Xposed+Android6.0.1+ES文件浏览器 模拟器:mumu(因为需要root) 3.安装DumpDex。(脱壳神器) 打开https://github.com/WrBug/dumpDex, 从这个页面下载APK安装包,或者直接下载源码进行编译项目到手机上。 注意在下载源码进行编译时,你可能会遇到签名问题和Run configuration配置问题。但都容易解决。配置问题解决方法:Run configuration中Launch Options选项选为Not
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
qq_44130722的博客
08-31 1万+
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
Android14 dobby hook哪个so哪个method可以得到脱壳后的dexfile并dump
03-19
<think>好的,我现在需要帮助用户解决在Android14中使用Dobby Hook获取脱壳后的DexFile并进行Dump的方法。首先,我得理解用户的需求。用户可能在进行安卓应用逆向分析,需要脱壳处理后的Dex文件,而传统方法可能失效,所以想通过Hook技术来实现。Android14的系统可能对Dex加载机制有所改动,需要最新的适配方法。 接下来,我需要回忆Dobby Hook的基本原理。Dobby是一个用于替换函数实现的Hook框架,支持ARM和ARM64架构。用户需要在目标函数被调用时拦截,并获取DexFile结构体的信息。通常,DexFile在内存中的加载涉及类加载器,所以可能需要Hook相关的方法,比如OpenMemory或DexFile构造函数。 然后,考虑Android14的变化。自Android8以后,Dex加载转向了DexFile的API变化,比如使用DexClassLoader或InMemoryDexClassLoader。但具体到Android14,可能需要查阅最新的源码或文档,确认DexFile的加载流程是否有变化。比如,DexFile的初始化函数可能有所调整,或者内存中的结构体布局不同。 接下来,如何定位关键函数。通常,可以通过分析libart.so中的导出符号,例如DexFile::OpenMemory或类似函数。但在不同Android版本中,符号名可能被混淆或改变,需要动态调试或者查看源码来确定正确的Hook点。用户提到的“dump前后两个segment”可能涉及ELF文件的分析,使用IDA静态分析来找到切入点。 然后,编写Hook代码。使用Dobby进行Hook时,需要声明原函数和替换函数。替换函数中,需要获取Dex的起始地址和大小,然后进行Dump操作。需要注意权限问题,确保进程有权限访问目标内存区域,并且处理可能的内存保护属性,比如使用mprotect调整内存页为可读。 还需要考虑多Dex的情况,一个应用可能有多个Dex文件,需要遍历所有加载的DexFile实例。此外,Hook点的选择要准确,避免遗漏或重复Dump。另外,Android14可能加强了反调试或Hook检测,可能需要绕过这些保护措施。 最后,生成相关问题。用户可能对Hook的具体实现细节、如何定位函数符号、处理内存保护或优化Dump流程感兴趣。需要确保回答覆盖了这些潜在的问题点,并提供进一步的参考资料或步骤。</think>### Android14通过Dobby Hook获取脱壳DexFile的方法 #### 一、关键Hook点定位 在Android ART虚拟机中,DexFile的加载会经过$DexFile::OpenMemory$函数[^1]。该函数接受内存中的Dex数据作为输入参数: $$DexFile* DexFile::OpenMemory(const uint8_t* base, size_t size, ...)$$ 通过Dobby Hook该函数,可拦截到动态加载的Dex文件内存地址和大小: ```cpp typedef DexFile* (*DexFile_OpenMemory_t)(const uint8_t*, size_t, ...); DexFile_OpenMemory_t orig_OpenMemory; DexFile* hook_OpenMemory(const uint8_t* base, size_t size, ...) { // Dump内存中的Dex数据 dump_dex(base, size); return orig_OpenMemory(base, size, ...); } ``` #### 二、Dobby Hook实现步骤 1. **符号查找**: ```cpp void* openmemory_addr = DobbySymbolResolver("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"); ``` 2. **安装Hook**: ```cpp DobbyHook(openmemory_addr, (void*)hook_OpenMemory, (void**)&orig_OpenMemory); ``` 3. **Dex Dump实现**: ```cpp void dump_dex(const uint8_t* addr, size_t size) { char path[256]; snprintf(path, sizeof(path), "/data/local/tmp/dex_%zu.dex", dump_count++); FILE* f = fopen(path, "wb"); fwrite(addr, 1, size, f); fclose(f); } ``` #### 三、Android14适配要点 1. **内存保护处理**: 需调用$mprotect$修改内存页属性为可读: ```cpp mprotect(ALIGN_DOWN(addr, PAGE_SIZE), ALIGN_UP(size, PAGE_SIZE), PROT_READ); ``` 2. **多Dex处理**: Android14支持$InMemoryDexClassLoader$,需同时Hook$DexFile::DexFile$构造函数: ```cpp typedef void (*DexFile_ctor_t)(DexFile*, const uint8_t*, size_t, ...); ``` 3. **绕过验证**: 部分加固方案会校验Dex文件哈希值,需在Hook后保持原始逻辑完整执行。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值