[原创]Youpk: 又一款基于ART的主动调用的脱壳机

2020-5-31 00:04 45658

[原创]Youpk: 又一款基于ART的主动调用的脱壳机

Youlor

2020-5-31 00:04

45658

Youpk: 又一款基于ART的主动调用的脱壳机

原理

Youpk是一款针对Dex整体加固+各式各样的Dex抽取的脱壳机

基本流程如下:

从内存中dump DEX
构造完整调用链, 主动调用所有方法并dump CodeItem
合并 DEX, CodeItem

从内存中dump DEX

DEX文件在art虚拟机中使用DexFile对象表示, 而ClassLinker中引用了这些对象, 因此可以采用从ClassLinker中遍历DexFile对象并dump的方式来获取.

//unpacker.cc
std::list<const DexFile*> Unpacker::getDexFiles() {
  std::list<const DexFile*> dex_files;
  Thread* const self = Thread::Current();
  ClassLinker* class_linker = Runtime::Current()->GetClassLinker();
  ReaderMutexLock mu(self, *class_linker->DexLock());
  const std::list<ClassLinker::DexCacheData>& dex_caches = class_linker->GetDexCachesData();
  for (auto it = dex_caches.begin(); it != dex_caches.end(); ++it) {
    ClassLinker::DexCacheData data = *it;
    const DexFile* dex_file = data.dex_file;
    dex_files.push_back(dex_file);
  }
  return dex_files;
}

另外, 为了避免dex做任何形式的优化影响dump下来的dex文件, 在dex2oat中设置 CompilerFilter 为仅验证

1 2	`//dex2oat.cc` `compiler_options_->SetCompilerFilter(CompilerFilter::kVerifyAtRuntime);`

构造完整调用链, 主动调用所有方法

创建脱壳线程

//unpacker.java
public static void unpack() {
    if (Unpacker.unpackerThread != null) {
        return;
    }
 
    //开启线程调用
    Unpacker.unpackerThread = new Thread() {
        @Override public void run() {
            while (true) {
                try {
                    Thread.sleep(UNPACK_INTERVAL);
                }
                catch (InterruptedException e) {
                    e.printStackTrace();
                }
                if (shouldUnpack()) {
                    Unpacker.unpackNative();
                }   
            }
        }
    };
    Unpacker.unpackerThread.start();
}

在脱壳线程中遍历DexFile的所有ClassDef

1
2
//unpacker.cc
for (; class_idx < dex_file->NumClassDefs(); class_idx++) {

解析并初始化Class

//unpacker.cc
mirror::Class* klass = class_linker->ResolveType(*dex_file, dex_file->GetClassDef(class_idx).class_idx_, h_dex_cache, h_class_loader);
StackHandleScope<1> hs2(self);
Handle<mirror::Class> h_class(hs2.NewHandle(klass));
bool suc = class_linker->EnsureInitialized(self, h_class, true, true);

主动调用Class的所有Method, 并修改ArtMethod::Invoke使其强制走switch型解释器

//unpacker.cc
uint32_t args_size = (uint32_t)ArtMethod::NumArgRegisters(method->GetShorty());
if (!method->IsStatic()) {
    args_size += 1;
}
 
JValue result;
std::vector<uint32_t> args(args_size, 0);
if (!method->IsStatic()) {
    mirror::Object* thiz = klass->AllocObject(self);
    args[0] = StackReference<mirror::Object>::FromMirrorPtr(thiz).AsVRegValue();  
}
method->Invoke(self, args.data(), args_size, &result, method->GetShorty());
 
//art_method.cc
if (UNLIKELY(!runtime->IsStarted() || Dbg::IsForcedInterpreterNeededForCalling(self, this) 
|| (Unpacker::isFakeInvoke(self, this) && !this->IsNative()))) {
if (IsStatic()) {
art::interpreter::EnterInterpreterFromInvoke(
self, this, nullptr, args, result, /*stay_in_interpreter*/ true);
} else {
mirror::Object* receiver =
reinterpret_cast<StackReference<mirror::Object>*>(&args[0])->AsMirrorPtr();
art::interpreter::EnterInterpreterFromInvoke(
self, this, receiver, args + 1, result, /*stay_in_interpreter*/ true);
}
}
 
//interpreter.cc
static constexpr InterpreterImplKind kInterpreterImplKind = kSwitchImplKind;

在解释器中插桩, 在每条指令执行前设置回调

//interpreter_switch_impl.cc
// Code to run before each dex instruction.
  #define PREAMBLE()                                                                 \
  do {                                                                               \
    inst_count++;                                                                    \
    bool dumped = Unpacker::beforeInstructionExecute(self, shadow_frame.GetMethod(), \
                                                     dex_pc, inst_count);            \
    if (dumped) {                                                                    \
      return JValue();                                                               \
    }                                                                                \
    if (UNLIKELY(instrumentation->HasDexPcListeners())) {                            \
      instrumentation->DexPcMovedEvent(self, shadow_frame.GetThisObject(code_item->ins_size_),  shadow_frame.GetMethod(), dex_pc);                                                                                  \
    }                                                                                \
  } while (false)

在回调中做针对性的CodeItem的dump, 这里仅仅是简单的示例了直接dump, 实际上, 针对某些厂商的抽取, 可以真正的执行几条指令等待CodeItem解密后再dump

//unpacker.cc
bool Unpacker::beforeInstructionExecute(Thread *self, ArtMethod *method, uint32_t dex_pc, int inst_count) {
  if (Unpacker::isFakeInvoke(self, method)) {
      Unpacker::dumpMethod(method);
    return true;
  }
  return false;
}

合并 DEX, CodeItem

将dump下来的CodeItem填充到DEX的相应位置中即可. 主要是基于google dx工具修改.

参考链接

FUPK3: https://bbs.pediy.com/thread-246117.htm

FART: https://bbs.pediy.com/thread-252630.htm

刷机

仅支持pixel 1代
重启至bootloader: adb reboot bootloader
解压 Youpk_sailfish.zip 并双击 flash-all.bat
百度云：https://pan.baidu.com/s/1ySSy2vNW5TyFjH1LNAcd5w
提取码：vseh

使用方法

该工具仅仅用来学习交流, 请勿用于非法用途, 否则后果自付！
配置待脱壳的app包名, 准确来讲是进程名称

1
adb shell "echo cn.youlor.mydemo >> /data/local/tmp/unpacker.config"
启动apk等待脱壳
每隔10秒将自动重新脱壳(已完全dump的dex将被忽略), 当日志打印unpack end时脱壳完成
pull出dump文件, dump文件路径为 /data/data/包名/unpacker

1
adb pull /data/data/cn.youlor.mydemo/unpacker
调用修复工具 dexfixer.jar, 两个参数, 第一个为dump文件目录(必须为有效路径), 第二个为重组后的DEX目录(不存在将会创建)

1
java -jar dexfixer.jar /path/to/unpacker /path/to/output

适用场景

整体加固
抽取:
- nop占坑型(类似某加密)
- naitve化, 在<clinit>中解密(类似早期阿里)
- goto解密型(类似新版某加密?najia): https://bbs.pediy.com/thread-259448.htm

常见问题

dump中途退出或卡死，重新启动进程，再次等待脱壳即可
当前仅支持被壳保护的dex, 不支持App动态加载的dex/jar

开源

仓库地址: https://github.com/youlor/unpacker

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币～

最后于 2021-5-31 13:41 被Youlor编辑，原因：开源

#脱壳反混淆

收藏・156

点赞・23

打赏

最新回复 (59) 1 2 3 ▶
上海刘一刀雪币： 987 活跃值： (285) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 136 粉丝 12 关注私信	上海刘一刀 2 2020-5-31 00:06 2 楼 0 膜大佬666666666666666666666666666666666
伟叔叔雪币： 680 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	伟叔叔 2020-5-31 00:07 3 楼 0 学习了
pureGavin 雪币： 9481 活跃值： (9063) 能力值： ( LV12，RANK：240 ) 在线值：发帖 57 回帖 1128 粉丝 131 关注私信	pureGavin 2 2020-5-31 00:26 4 楼 0 mark，楼主辛苦了
hpphpp 雪币： 276 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 104 粉丝 1 关注私信	hpphpp 2020-5-31 00:37 5 楼 0 插眼，学习
roysue 雪币： 3775 活跃值： (2677) 能力值： (RANK：200 ) 在线值：发帖 97 回帖 336 粉丝 359 关注私信	roysue 3 2020-5-31 09:59 6 楼 2 试了下，案例来自此文中的aipao.apk，FART最终的效果是可以看Smali，这个Youpk可以直接回填到dex，用jadx直接打开就行：见图片：
Buu 雪币： 4042 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 1 回帖 42 粉丝 3 关注私信	Buu 1 2020-5-31 12:37 7 楼 0 大佬牛逼最后于 2020-5-31 12:37 被Buu编辑，原因：
bluegatar 雪币： 1 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 1 关注私信	bluegatar 2020-5-31 13:54 8 楼 0 刷机包没必要刷bootlloader和radio啊，可以把包再精简下
TopDbg 雪币： 1676 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	TopDbg 2020-5-31 15:51 9 楼 0 思路清晰，感谢分享！
黑色刺客雪币： 0 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 111 粉丝 1 关注私信	黑色刺客 2020-5-31 20:08 10 楼 0 请问下模拟器能刷么
hanbingle 雪币： 8213 活跃值： (3570) 能力值： ( LV8，RANK：134 ) 在线值：发帖 6 回帖 41 粉丝 426 关注私信	hanbingle 2 2020-5-31 20:21 11 楼 1 思路清晰，给你点赞，对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump，比如我在看雪高研班上给的那个自解密的样本
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-5-31 20:58 12 楼 0 黑色刺客请问下模拟器能刷么不能, 目前只有pixel 1代的刷机包
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-5-31 21:00 13 楼 0 hanbingle 思路清晰[em_63]，给你点赞，对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump，比如我在看雪高研班上给的那个自解密的样本嗯嗯, 我看到那个特殊抽取壳的帖子, 发现和之前分析过的najia的一个样本比较像, 都是goto到解密再goto到解密后的原指令, 所以就一并处理了下
一颗金柚子雪币： 2948 活跃值： (1773) 能力值： ( LV6，RANK：80 ) 在线值：发帖 20 回帖 10 粉丝 96 关注私信	一颗金柚子 1 2020-6-1 10:00 14 楼 0 思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？
Czhiqiang 雪币： 283 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	Czhiqiang 2020-6-1 10:28 15 楼 0 一颗金柚子思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？最后于 2020-6-1 10:29 被Czhiqiang编辑，原因：
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-6-1 10:35 16 楼 0 一颗金柚子思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？当前是根据ins_count, opcode一起作为特征的
tDasm 雪币： 9825 活跃值： (2100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 559 粉丝 11 关注私信	tDasm 2020-6-1 11:19 17 楼 0 修改的源码都贴出来了?让大家完整学习一下。
挤蹭菌衣雪币： 5191 活跃值： (2843) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 98 关注私信	挤蹭菌衣 1 2020-6-1 19:17 18 楼 0 tql
jack.zhang 雪币： 865 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 3 关注私信	jack.zhang 2020-6-2 09:26 19 楼 0 虽然，思路有点不清晰对art主动调用；但是还是任务
莫灰灰雪币： 1006 活跃值： (756) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 708 粉丝 34 关注私信	莫灰灰 9 2020-6-2 10:43 20 楼 0 学习了~
lrzhao 雪币： 855 活跃值： (608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	lrzhao 2020-6-2 15:27 21 楼 0 OnCreate 抽取的可以吗？试了一下还是 public native void onCreate(Bundle bundle);
又见飞刀z 雪币： 1604 活跃值： (1839) 能力值： ( LV2，RANK：15 ) 在线值：发帖 34 回帖 140 粉丝 10 关注私信	又见飞刀z 2020-6-2 17:21 22 楼 0 bluegatar 刷机包没必要刷bootlloader和radio啊，可以把包再精简下我感觉直接一个整体挺好的，一键刷入多方便
D-t 雪币： 3967 活跃值： (1285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 12 关注私信	D-t 2020-6-2 19:44 23 楼 0 lrzhao OnCreate 抽取的可以吗？试了一下还是 public native void onCreate(Bundle bundle); 你这是vmp吧这个帖子说的很清楚针对整体和抽取填抗的类型不支持被v掉的代码最后于 2020-6-2 19:45 被D-t编辑，原因： 1
lrzhao 雪币： 855 活跃值： (608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	lrzhao 2020-6-2 21:21 24 楼 0 那是我跨服聊天了
笑对VS人生雪币： 275 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 1 关注私信	笑对VS人生 2020-6-4 08:26 25 楼 0 厉害啦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Youlor

发帖

回帖

RANK

关注

私信

他的文章

[原创]Youpk: 又一款基于ART的主动调用的脱壳机

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (59) 1 2 3 ▶
上海刘一刀雪币： 987 活跃值： (285) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 136 粉丝 12 关注私信	上海刘一刀 2 2020-5-31 00:06 2 楼 0 膜大佬666666666666666666666666666666666
伟叔叔雪币： 680 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	伟叔叔 2020-5-31 00:07 3 楼 0 学习了
pureGavin 雪币： 9481 活跃值： (9063) 能力值： ( LV12，RANK：240 ) 在线值：发帖 57 回帖 1128 粉丝 131 关注私信	pureGavin 2 2020-5-31 00:26 4 楼 0 mark，楼主辛苦了
hpphpp 雪币： 276 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 104 粉丝 1 关注私信	hpphpp 2020-5-31 00:37 5 楼 0 插眼，学习
roysue 雪币： 3775 活跃值： (2677) 能力值： (RANK：200 ) 在线值：发帖 97 回帖 336 粉丝 359 关注私信	roysue 3 2020-5-31 09:59 6 楼 2 试了下，案例来自此文中的aipao.apk，FART最终的效果是可以看Smali，这个Youpk可以直接回填到dex，用jadx直接打开就行：见图片：
Buu 雪币： 4042 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 1 回帖 42 粉丝 3 关注私信	Buu 1 2020-5-31 12:37 7 楼 0 大佬牛逼最后于 2020-5-31 12:37 被Buu编辑，原因：
bluegatar 雪币： 1 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 1 关注私信	bluegatar 2020-5-31 13:54 8 楼 0 刷机包没必要刷bootlloader和radio啊，可以把包再精简下
TopDbg 雪币： 1676 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	TopDbg 2020-5-31 15:51 9 楼 0 思路清晰，感谢分享！
黑色刺客雪币： 0 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 111 粉丝 1 关注私信	黑色刺客 2020-5-31 20:08 10 楼 0 请问下模拟器能刷么
hanbingle 雪币： 8213 活跃值： (3570) 能力值： ( LV8，RANK：134 ) 在线值：发帖 6 回帖 41 粉丝 426 关注私信	hanbingle 2 2020-5-31 20:21 11 楼 1 思路清晰，给你点赞，对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump，比如我在看雪高研班上给的那个自解密的样本
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-5-31 20:58 12 楼 0 黑色刺客请问下模拟器能刷么不能, 目前只有pixel 1代的刷机包
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-5-31 21:00 13 楼 0 hanbingle 思路清晰[em_63]，给你点赞，对于一些自解密的抽取壳确实需要构造更深的调用链甚至是执行几条smali指令再dump，比如我在看雪高研班上给的那个自解密的样本嗯嗯, 我看到那个特殊抽取壳的帖子, 发现和之前分析过的najia的一个样本比较像, 都是goto到解密再goto到解密后的原指令, 所以就一并处理了下
一颗金柚子雪币： 2948 活跃值： (1773) 能力值： ( LV6，RANK：80 ) 在线值：发帖 20 回帖 10 粉丝 96 关注私信	一颗金柚子 1 2020-6-1 10:00 14 楼 0 思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？
Czhiqiang 雪币： 283 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	Czhiqiang 2020-6-1 10:28 15 楼 0 一颗金柚子思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？最后于 2020-6-1 10:29 被Czhiqiang编辑，原因：
Youlor 雪币： 691 活跃值： (1037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 43 关注私信	Youlor 2020-6-1 10:35 16 楼 0 一颗金柚子思路值得学习，目前已经将楼主的方法复现成功，确实可以脱下来大部分壳，不过我想问一下“执行几条指令之后再dump”部分是根据ins_count这个传参来判断还是在Opcode中dump呢？当前是根据ins_count, opcode一起作为特征的
tDasm 雪币： 9825 活跃值： (2100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 559 粉丝 11 关注私信	tDasm 2020-6-1 11:19 17 楼 0 修改的源码都贴出来了?让大家完整学习一下。
挤蹭菌衣雪币： 5191 活跃值： (2843) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 98 关注私信	挤蹭菌衣 1 2020-6-1 19:17 18 楼 0 tql
jack.zhang 雪币： 865 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 25 粉丝 3 关注私信	jack.zhang 2020-6-2 09:26 19 楼 0 虽然，思路有点不清晰对art主动调用；但是还是任务
莫灰灰雪币： 1006 活跃值： (756) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 708 粉丝 34 关注私信	莫灰灰 9 2020-6-2 10:43 20 楼 0 学习了~
lrzhao 雪币： 855 活跃值： (608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	lrzhao 2020-6-2 15:27 21 楼 0 OnCreate 抽取的可以吗？试了一下还是 public native void onCreate(Bundle bundle);
又见飞刀z 雪币： 1604 活跃值： (1839) 能力值： ( LV2，RANK：15 ) 在线值：发帖 34 回帖 140 粉丝 10 关注私信	又见飞刀z 2020-6-2 17:21 22 楼 0 bluegatar 刷机包没必要刷bootlloader和radio啊，可以把包再精简下我感觉直接一个整体挺好的，一键刷入多方便
D-t 雪币： 3967 活跃值： (1285) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 12 关注私信	D-t 2020-6-2 19:44 23 楼 0 lrzhao OnCreate 抽取的可以吗？试了一下还是 public native void onCreate(Bundle bundle); 你这是vmp吧这个帖子说的很清楚针对整体和抽取填抗的类型不支持被v掉的代码最后于 2020-6-2 19:45 被D-t编辑，原因： 1
lrzhao 雪币： 855 活跃值： (608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 1 关注私信	lrzhao 2020-6-2 21:21 24 楼 0 那是我跨服聊天了
笑对VS人生雪币： 275 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 1 关注私信	笑对VS人生 2020-6-4 08:26 25 楼 0 厉害啦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复