安卓逆向之基於Xposed-ZjDroid脫殼

時間 2019-11-15

標籤逆向基於 xposed zjdroid 脫殼欄目 Android 简体版

原文原文鏈接

http://bbs.pediy.com/thread-218798.htmjava

前言

以前介紹了普一般見的反編譯模式但對於使用了 360加固棒棒愛加密等等的加固應用就沒辦法了、android

你會發現反編譯出來的dex 只有幾個類邏輯都是調用so git

真正的dex會被加載到內存中隱藏起來加固應用都是多dex這種形式github

要想拿到他真正的dex 須要進行脫殼處理基本原理都是從內存中dump 我通常會先用工具來嘗試不行的話就得上 IDA（反彙編神器）超級強的一個工shell

具殺手級別貫穿移動端 PC端的逆向但使用IDA 進行靜態分析動態調試脫殼就變的很麻煩了並且並非一兩天能學會的安全

之後會介紹使用咱們今天先用工具嘗試簡單的脫殼微信

ZjDroid工具介紹

ZjDroid是基於Xposed Framewrok的動態逆向分析模塊，逆向分析者能夠經過ZjDroid完成如下工做：一、DEX文件的內存dump 二、基於Dalvik關鍵指針的內存BackSmali，有效破解主流加固方案三、敏感API的動態監控四、指定內存區域數據dump 五、獲取應用加載DEX信息。六、獲取指定DEX文件加載類信息。七、dump Dalvik Java堆信息。八、在目標進程動態運行lua腳本。app

ZjDroid github開源的一個項目主要功能就是脫殼基於內存dump 其餘功能通常做者很NB 總有些人能夠把Xposed玩出花來框架

我下篇博客會介紹一個針對安卓端應用分析工具很強大！工具

工具準備

已ROOT手機一臺並裝好xpsoed框架在裝上ZjDroid模塊

JEB apk專業逆向工具可是和IDA同樣要花錢吾愛論壇提供破解版本

這裏提一下jeb的優點能夠直接打開apk進行反編譯而已還原效果好

jd-gui看反編譯出來的jar(源碼)有些代碼爲註釋狀態顯示不出來但JEB 確定能夠所有還原

愛盤地址 ZjDroid地址

實戰案例

某個朋友託我逆向個應用叫微丟丟微信營銷的去官網下載APK 拖到JEB裏簡單的看了下

只有幾個類一看就是加固應用而且使用的是360加固這種結構的類在有個Application 鐵定的加固應用

至於作了哪些操做基本都是常見的套路釋放so文件到應用沙盒目錄下

注意 JEB 反編譯出來的代碼初始狀態都爲smali 須要用快捷鍵Q或者鼠標右鍵Decompile下

簡單分析事後下載apk到安裝好ZjDroid的手機中打開應用到主界面

咱們須要獲取這個應用的pid值這就須要用到一個命令了 PC端 WIN+X+R CMD 進入CMD窗口輸入命令

命令： adb shell dumpsys activity top

獲取到當前程序的Activity信息這個命令很實用最好記一下

若是顯示過多能夠寫成 adb shell dumpsys activity top |more 按行輸出

獲取這個應用的包名 com.haiqu.oem 還要牢記這個pid 8445以後的操做都會用到他

接着咱們來使用pid查看這個應用在手機裏面 dex 所在的位置

查詢 dex 信息所在位置

am broadcast -a com.zjdroid.invoke --ei target 8445 --es cmd '{action:dump_dexinfo}'

有些時候輸入這條命令會報一條警告:

WARNING: linker: app_process has text relocations. This is wasting memory and is a security risk. Please fix.
WARNING: linker: app_process has text relocations. This is wasting memory and is a security risk. Please fix.