看雪论坛
发新帖

[原创]分享一个360加固脱壳模拟器(2017/07/17更新)

DanceBird 2017-7-15 14:41 1459

前段时间由于工作需要,需要对一个360加固后的APK进行脱壳,网上查了一些相关资料,发现一篇论坛里前辈写的帖子《360加固成功脱壳》。

结合自己对ART机制的了解,dex文件在ART上运行需要转换为OAT格式,因此壳在还原代码时少不了要将解密后的DEX文件利用dex2oat进行还原。

所以觉得这种脱壳方法很有可行性。无奈附件中的dex2oat怎么也运行不起来(估计人品不好),所以干脆自己修改4.4的源码编译,做个虚拟机脱。

 

下载编译源码的帖子很多,过程这儿就不讲了,直接上成果。修改源码部分如下(art/dex2oat.cc):

大意就是将还未转换的dex文件输出,因为360存在.jiagu目录下,因此作为过滤条件)

 

修改完源码编译,提取相关的.img文件,然后创建虚拟机。运行后,设置运行模式为ART模式。

装上加固的APP,运行一下,观察app目录下的.jiagu文件夹下就有还原的dex文件了。


注:由于大家反映提供的虚拟机不能脱壳。所以这里重新上传一个源码编译的原镜像还有dex2oat文件。

自行创建虚拟机后,记得改用art模式运行(第一次转换时间较长,耐心等待)。


应用市场上重新找了一个APP脱了下,成功脱壳:



新上传的镜像文件和加固样本:

链接:http://pan.baidu.com/s/1boLv1Qf 密码:671k


有问题可以加群讨论:637599003


本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (27)
DanceBird 2017-7-15 14:41
2
第一次发帖,前辈多多指正。
王小东 2017-7-15 17:28
3
好东西,脱壳后还需要修复吗,能二次打包不?
1
darmao 2017-7-16 18:18
4
这个思路很棒
1
darmao 2017-7-16 18:36
5
大神  能否给个联系方式
wx_逗比呵呵 2017-7-16 21:36
6
DanceBird 2017-7-16 21:39
7

darmao 大神 能否给个联系方式


chenleicpp 2017-7-16 22:33
8
楼主,这个QQ加不上,能否私个QQ加上交流下
jet_coder 2017-7-16 23:01
9
这个思路不错,赞一个!
1
darmao 2017-7-16 23:30
10
DanceBird 可以加我qq226550482交流
搜索不到这个qq
DanceBird 2017-7-17 09:23
11

darmao 搜索不到这个qq


pinggle 2017-7-17 09:47
12
之前已经有人发过了,http://bbs.pediy.com/thread-210275.htm
还有其实只用将  dex2oat  替换即可
phyman 2017-7-17 09:59
13
这个可以还原onCreate不
chenleicpp 2017-7-17 11:07
14
DanceBird 第一次发帖,前辈多多指正。
测试了下,生成了三个文件,classes.dex,classes2.dex,classes.ota,感觉ota是最终结果,问题是怎么转换成dex?
天涯人啦 2017-7-17 12:37
15
chenleicpp 测试了下,生成了三个文件,classes.dex,classes2.dex,classes.ota,感觉ota是最终结果,问题是怎么转换成dex?
你好  为嘛我试了下是这样  就4个文件夹:cache
files
lib
shared_prefs
chenleicpp 6天前
16
天涯人啦 你好 为嘛我试了下是这样 就4个文件夹:cache files lib shared_prefs
ls  -al你需要看下隐藏文件
天涯人啦 6天前
17
chenleicpp ls -al你需要看下隐藏文件
ls  -l  -a  可以了    可是拿出来的dex不能转化为jar  您的可以吗  请问
chenleicpp 6天前
18
天涯人啦 ls -l -a 可以了 可是拿出来的dex不能转化为jar 您的可以吗 请问
截图给我看下所有的文件大小
chenleicpp 6天前
19
研究了发现不成功,估计是楼主没有共享system.img文件,楼主可以把dex2oat文件共享下也行,自行替换
Banyan 6天前
20
chenleicpp 研究了发现不成功,估计是楼主没有共享system.img文件,楼主可以把dex2oat文件共享下也行,自行替换
好像是的,楼主应该忘记共享system.img文件了,解包那些img文件都没发现dex2oat.so
DanceBird 6天前
21
chenleicpp 研究了发现不成功,估计是楼主没有共享system.img文件,楼主可以把dex2oat文件共享下也行,自行替换
重新上传了一份儿
天涯人啦 6天前
22
谢谢
magicxss 6天前
23
巧了,和这个一模一样.
http://bbs.pediy.com/thread-210275.htm
DanceBird 6天前
24
magicxss 巧了,和这个一模一样. http://bbs.pediy.com/thread-210275.htm
嗯  是的,照这个思路弄的
lich 5天前
25
  我在WIN7  环境下,用File  Explorer怎么看到.jlagu这个目录,手机上是有的。虚拟机用  的4.4,作者修改过的    在程序开发中运行模式改为ART了。请楼上的朋友帮忙一下,问题出在哪?
lich 5天前
26
问题找到了,权限问题,已解决。
这有个加号 4天前
27
楼主,我用你给的img文件替换了system-images下的android-19里面的内容创建了虚拟机  在Windows下环境运行  也转换了运行模式
尝试脱test的壳  失败了  logcat下显示
07-19  03:27:17.828:  I/dex2oat(1298):  dex2oat:  /data/dalvik-cache/data@app@com.harvey.testapk-1.apk@classes.dex
07-19  03:27:17.918:  I/dex2oat(1298):  harvey:dex  file  name-->/data/app/com.harvey.testapk-1.apk
07-19  03:27:18.208:  I/ActivityManager(366):  Force  stopping  com.harvey.testapk  appid=10058  user=-1:  update  pkg
07-19  03:27:18.398:  W/art(366):  Failed  to  find  ELF  magic  in  /system/priv-app/ContactsProvider.odex:  dey
直接跳过了if步骤。。。。
verber波 1天前
28
我需要问一个基础问题,自行创建虚拟机?怎么建,虚拟机不是直接直接启动就有系统吗?请教
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.013, SQL: 9 / 京ICP备10040895号-17