Android逆向之路—脱壳360加固

97次阅读

共计 3294 个字符,预计需要花费 9 分钟才能阅读完成。

前言
众所周知,现在软件在防止逆向采取了混淆,加壳等措施。比如 360 加固,腾讯加固,梆梆加固等等。这两天在逆向一款 app 的时候找到了一个不错的 xposed 插件推荐给大家,
下载地址:点我下载
<!–more–>
前提环境

xposed
root 过的 android 手机
dumpdex.apk 文件 (下载地址在上方)

自动脱壳
安装完成 dumpdex.apk 之后,在 xposed 里面软重启,激活。就好了。

现在就可以脱壳了,我们可以找一个已经被加固的 app,在此就不列举 app 的名字了。
我们点击 app 打开,这个时候 WrBug 会自动的帮我们脱壳完成。此时此刻我们只需要去对应目录找 dex 文件就好了。
路径如图:

接下来就可以用 adb pull 命令将对应的 dex 文件取出,脱壳完毕。
xposed hook 360 加壳后 app 注意事项
由于 360 加壳之后,更改了 classloader,因此我们用原本的 classloader 是会报类无法被找到的异常的。
不过我们去分析源码便知道,我们要先 hook 到 360 的 classloader,再从 360 的 classloader 里面获取到 app 运行时的类。
360 加固源码分析
类 com.stub.StubApp
public class StubApp
extends Application
{
private static boolean loadDexToC = false;
private static boolean loadFromLib;
private static boolean needX86Bridge;
public static String strEntryApplication;
private static Application ?�A = null;
private static Application ??;
private static String ??;
private static Context ??;

static
{
strEntryApplication = “com.qihoo360.crypt.entryRunApplication”;
?? = null;
?? = “libjiagu”;
loadFromLib = false;
needX86Bridge = false;
throw new VerifyError(“bad dex opcode”);
}
//——– 略 ——–
private static Application ᵢˋ(Context context) {
try {
if (ᵢˎ == null) {
ClassLoader classLoader = context.getClassLoader();
if (classLoader != null) {
Class loadClass = classLoader.loadClass(strEntryApplication);
if (loadClass != null) {
ᵢˎ = (Application) loadClass.newInstance();
}
}
}
} catch (Exception e) {
}
return ᵢˎ;
}

//——– 略 ——–
}
上面代码中有一个方法,这个方法的名称是乱码,你没看错,这个方法名称本身就是一串奇怪的字符,我们需要 Hook 到这个方法,然后拿出 classloader 才可以
Hook 代码如下
XposedHelpers.findAndHookMethod(“com.stub.StubApp”, lpparam.classLoader, “ᵢˋ”, Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
// 获取到 360 的 Context 对象,通过这个对象来获取 classloader
Context context = (Context) param.args[0];
// 获取 360 的 classloader,之后 hook 加固后的代码就使用这个 classloader
ClassLoader classLoader = context.getClassLoader();
// 替换 classloader,hook 加固后的真正代码

XposedHelpers.findAndHookMethod(“com.alibaba.fastjson.JSON”, classLoader, “toJSONString”, Object.class, new XC_MethodHook() {

@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
XposedBridge.log(TAG + “JSONObject”);
XposedBridge.log(TAG + param.args[0].toString());
XposedBridge.log(TAG + param.getResult());
}
});
}
});
这样就可以了
注意!!!
由于 360 加固版本也会更新换代,升级,变形,也希望读者读到了这里可以自己思考。今天是 2018/12/13,如果你看到这篇文章的时间,360 加固已经更新了 N 个版本,欢迎 call 我,一起来找到最新的破解办法。
网上目前流传很多其他办法,例如:
XposedHelpers.findAndHookMethod(“com.qihoo.util.StubApp579459766”, loadPackageParam.classLoader,
“getNewAppInstance”, Context.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
// 获取到 360 的 Context 对象,通过这个对象来获取 classloader
Context context = (Context) param.args[0];
// 获取 360 的 classloader,之后 hook 加固后的就使用这个 classloader
ClassLoader classLoader =context.getClassLoader();
// 下面就是强 classloader 修改成 360 的 classloader 就可以成功的 hook 了
XposedHelpers.findAndHookMethod(“xxx.xxx.xxx.xxx”, classLoader, “xxx”, String.class, String.class, new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
Log.i(TAG, “ 密钥:” + (String) param.args[0]);
Log.i(TAG, “ 内容:” + (String) param.args[1]);
param.setResult((String) param.args[1]);
}
});
上方的方法其实已经是 360 加固 16 年的破解版本了,现在是 8102 年了,还请读者自行辨析。
目前 16 年的版本已经无效了,请使用最新的方法
写在最后
技术瞬息万变,30 年河东 30 年河西,希望大家都可以抓住那些不变的东西,努力进取。
争取在每次浪潮来临之际,能够赶上每一波更新,加油!
注:感谢作者 WrBug。
项目 github 地址如下:
点我点我
关于我
个人博客:MartinHan 的小站
博客网站:hanhan12312 的专栏
知乎:MartinHan01

正文完
 0