第一代殼 Dex加密php
第二代殼 Dex抽取與So加固html
第三代殼 Dex動態解密與So混淆android
第四代殼 arm vmp(將來)git
1.用加固廠商特徵:github
2.基於特徵的識別代碼算法
coredump文件中搜索「dex.035」工具
Dex篇學習
ZjDroid http://bbs.pediy.com/showthread.php?t=190494優化
對付一切內存中完整的dex,包括殼與動態加載的jarui
so篇
elfrebuild
構造soinfo,而後對其進行重建
針對無代碼抽取且Hook dvmDexFileOpenPartial失敗
Hook dexFileParse
http://androidxref.com/4.4_r1/xref/dalvik/vm/DvmDex.cpp
https://github.com/WooyunDota/DumpDex
針對無代碼抽取且Hook dexFileParse失敗
Hook memcmp
http://androidxref.com/4.4_r1/xref/dalvik/vm/DvmDex.cpp
修改安卓源碼並刷機-針對無抽取代碼
https://github.com/bunnyblue/DexExtractor
Hook dexfileParse
DexHunter-最強大的二代殼脫殼工具
https://github.com/zyq8709/DexHunter
DexHunter的工做流程:
DexHunter的工做原理:
繞過三進程反調試
http://bbs.pediy.com/showthread.php?p=1439627
修改系統源碼後:
http://www.cnblogs.com/lvcha/p/3903669.html
gcore防Dump解決方案:
http://bbs.pediy.com/showthread.php?t=198995
斷點mmap調試,針對Hook dexFileParse無效
原理: dexopt優化時, dvmContinueOptimization()->mmap()
分析殼so邏輯並還原加密算法
http://www.cnblogs.com/2014asm/p/4924342.html
自定義linker脫so殼
https://github.com/devilogic/udog
ART模式下,dex2oat生成oat時,內存中的DEX是完整的
http://bbs.pediy.com/showthread.php?t=210532
Hook Dalvik_dalvik_system_DexFile_defineClassNative
枚舉全部DexClassDef,對全部的class,調用dvmDefineClass進行強制加載