- 对本书的赞誉
- 前言
- 基础篇
- 第 1 章 Android 中锁屏密码加密算法分析
- 第 2 章 Android 中 NDK 开发
- 第 3 章 Android 中开发与逆向常用命令总结
- 第 4 章 so 文件格式解析
- 第 5 章 AndroidManifest.xml 文件格式解析
- 第 6 章 resource.arsc 文件格式解析
- 第 7 章 dex 文件格式解析
- 防护篇
- 第 8 章 Android 应用安全防护的基本策略
- 第 9 章 Android 中常用权限分析
- 第 10 章 Android 中的 run-as 命令
- 第 11 章 Android 中的 allowBackup 属性
- 第 12 章 Android 中的签名机制
- 第 13 章 Android 应用加固原理
- 第 14 章 Android 中的 so 加固原理
- 工具篇
- 第 15 章 Android 逆向分析基础
- 第 16 章 反编译神器 apktool 和 Jadx
- 第 17 章 Hook 神器 Xposed
- 第 18 章 脱壳神器 ZjDroid
- 第 19 章 Native 层 Hook 神器 Cydia Substrate
- 操作篇
- 第 20 章 静态方式逆向应用
- 第 21 章 动态调试 smali 源码
- 第 22 章 IDA 工具调试 so 源码
- 第 23 章 逆向加固应用
- 第 24 章 逆向应用经典案例分析
- 第 25 章 Android 中常见漏洞分析
- 第 26 章 文件加密病毒 Wannacry 样本分析
13.2 案例分析
根据上节分析得知,加固后新的 dex 文件中有三个项目,本节来依次看一下这三个项目的代码实现。
1.需要加密的源程序 apk 项目:ForceApkObj
需要一个 Application 类,如图 13-4 所示。
图 13-4 加固 apk 项目结构图
下面来分析一下 MyApplication 源码:
就是打印一下 onCreate 方法。继续来分析一下 MainActivity 源码:
也是简单地打印一下内容。
2.加壳程序项目:DexShellTools
加壳程序其实就是一个 Java 项目,它的工作就是加密源 apk,然后将其写入脱壳 dex 文件中,修改文件头,得到一个新的 dex 文件即可,如图 13-5 所示。
图 13-5 加壳项目说明
下面来分析一下具体代码:
下面来详细分析一下具体代码逻辑:
实框部分其实就是最核心的工作。
1)加密源程序 apk 文件:
加密算法如下所示:
对每个字节进行异或一下即可。
提示:这里是为了简单起见,就用了很简单的加密算法。其实为了增加破解难度,应该使用更高效的加密算法,同时最好将加密操作放到 native 层去做。
2)合并文件:将加密之后的 apk 和原脱壳 dex 进行合并:
3)在文件的末尾追加源程序 apk 的长度:
4)修改新 dex 文件的文件头信息:file_size;sha1;check_sum:
具体修改可以参照之前说的文件头格式,修改指定位置的字节值即可。
这里还需要两个输入文件:
·源 apk 文件:ForceApkObj.apk
·脱壳程序的 dex 文件:ForceApkObj.dex
第一个文件都知道,就是上面的源程序编译之后的 apk 文件,第二个文件怎么得到呢?这个就是要讲到的第三个项目:脱壳程序项目。
3.脱壳项目:ReforceApk
脱壳项目是一个 Android 项目,在编译之后,能够得到它的 classes.dex 文件,然后修改一下名称就可,如图 13-6 所示。
图 13-6 脱壳项目结构图
在讲解这个项目之前,先来了解一下这个脱壳项目的工作。
1)通过反射置换 android.app.ActivityThread 中的 mClassLoader 是加载解密出 apk 的 DexClassLoader,该 DexClassLoader 一方面加载了源程序,另一方面以原 mClassLoader 为父节点,这就保证了既加载了源程序又没有放弃原先加载的资源与系统代码。
关于这部分内容,不了解的可以看一下 ActivityThread.java 的源码:
2)找到源程序的 Application,通过反射建立并运行。
这里需要注意的是,现在是加载一个完整的 apk,让它运行起来,一个 apk 程序运行的时候都是有一个 Application 对象的,这个也是一个程序运行之后的全局类。所以必须找到解密之后的源 apk 的 Application 类,运行它的 onCreate 方法,这样源 apk 才开始它的运行生命周期。这里如何得到源 apk 的 Application 的类呢?这个后面会说到。使用 meta 标签进行设置。
下面来看一下整体的流程图,如图 13-7 所示。
图 13-7 加载流程
首先来看一下具体步骤的代码实现逻辑:
1)得到脱壳 apk 中的 dex 文件,然后从这个文件中得到源程序 apk,进行解密,最后进行加载,代码如下:
这里需要注意的一个问题是,需要找到一个时机在脱壳程序还没有运行起来的时候来加载源程序的 apk,执行它的 onCreate 方法,那么这个时机不能太晚,不然的话,就是运行脱壳程序,而不是源程序了。查看源码知道 Application 中有一个方法即 attachBaseContext 方法,它在 Application 的 onCreate 方法执行前就会执行了,那么所有的工作就需要在这里进行。
2)从脱壳程序 apk 中找到源程序 apk,并且进行解密操作:
脱壳解密操作一定要和之前的加壳以及加密操作对应,不然就会出现 dex 加载错误问题。
从 apk 中获取到 dex 文件:
其实就是解压 apk 文件,直接得到 dex 文件即可。
从脱壳 Dex 中得到源 apk 文件:
解密源程序 apk:
解密算法和加密算法是一致的。
3)加载解密之后的源程序 apk:
4)找到源程序的 Application 程序,让其运行:
直接在脱壳的 Application 中的 onCreate 方法中进行就可以了。这里还可以看到是通过 AndroidManifest.xml 中的 meta 标签获取源程序 apk 中的 Application 对象的。
下面来看一下 AndoridManifest.xml 文件中的内容,如下所示:
在这里定义了源程序 apk 的 Application 类名。
提示:项目下载为 http://download.csdn.net/detail/jiangwei0910410003/9102741
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论