首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Android 逆向】技术识别 ( VMP 示例 | Dex2C 示例 )

文章目录 一、技术识别 二、VMP 示例 三、Dex2C 示例 一、技术识别 ---- 技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析其 DEX 文件 , 需要先 识别出该...APK 是使用的什么技术进行的 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可 ; 如果该 APK 使用了 VMP , 则需要逆向分析解释器...; 只有识别出的方式 , 才能有针对的进行脱壳 ; 上一篇博客 【Android 逆向】技术简介 ( 动态加载 | 第一代技术 - DEX 整体加固 | 第二代技术 - 函数抽取 | 第三代技术...- VMP / Dex2C | 动态库技术 ) 中介绍了几种常用的技术 ; 每个的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的一种技术..., 也有可能使用 3 者中的多种技术 , 进行混合 ; 整体加固 就是对 DEX 文件进行 整体加密 , https://blog.csdn.net/shulianghan/category

5.4K41

Android 逆向】脱壳解决方案 ( DEX 整体 | 函数抽取 | VMP | Dex2C | Android 应用加固防护级别 )

文章目录 一、DEX 整体 二、函数抽取 三、VMP 四、Dex2C 五、Android 应用加固防护级别 一、DEX 整体 ---- DEX 整体 就是将 完整的 DEX...文件 , 进行加密 , 只保留一个应用 , 应用执行时 , 应用解密 DEX 文件 , 然后执行解密后的 DEX 文件 ; DEX 整体 比较容易进行 脱壳 , 可以通过 文件加载 和 内存加载...DEX 文件是完整的 , 在合适的加载时机 , 得到 DEX 文件内存的起始地址 , 直接 使用 adb shell dump 命令 , 将内存中的 DEX 文件 DUMP 下来即可 ; 二、函数抽取... ---- Dex2C 是根据 编译原理 , 通过 词法 句法 分析 , 将 Java 代码 进行了 等价的语义转换 , 转为了 C 代码 , 基本无法完全恢复为 Java 代码 ; 核心是...关注 Native 中的 jni.h 中相关函数的调用 ; 五、Android 应用加固防护级别 ---- Android 应用加固防护等级 : 初级防护 : DEX 整体 中级防护 : 函数抽取

1.6K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Android 逆向】技术识别 ( 函数抽取 与 Native 化的区分 | VMP 与 Dex2C 的区分 )

    文章目录 一、特征识别 1、函数抽取 与 Native 化的区分 2、VMP 与 Dex2C 的区分 一、特征识别 ---- 1、函数抽取 与 Native 化的区分 函数抽取...与 Native 化的区别 : 函数抽取 : 没有将函数 Java 代码转为 Native 代码 , 函数体无效 ; VMP : 将函数 Java 代码转为 Native 代码 ; Dex2C... : 将函数 Java 代码转为 Native 代码 ; 如果函数是 非 Native 函数 , 并且 函数体 无效 , 说明这是 函数抽取 ; 如果函数是 Native 函数 , 说明这是...VMP 或者 Dex2C ; 2、VMP 与 Dex2C 的区分 VMP 的核心原理是 Dalvik 解释器 , 对于每个 VMP 保护的函数来说 , 都有一个 VMP 解释器... ; 函数的 注册地址不同 , 并且 函数逻辑不相似 , 则使用的是 Dex2C ;

    75020

    Android 逆向】APK 脱壳现状 | 判断 APK 是否 | APK 逆向流程

    文章目录 一、APK 脱壳现状 二、判断 APK 是否 三、APK 逆向流程 一、APK 脱壳现状 ---- 覆盖率很高 : 当前的应用 , 基本上 90% 都会加 , 各大加固厂商..., 基本都 提供免费的服务 ; 很难找到不加的应用 ; 脱壳场景 : 竞品分析 : 分析竞品 APK 时 , 如果对方 , 需要 先脱壳 , 然后才能分析 ; 恶意操作分析 : 恶意应用一般都会加..., 并且都很特殊 , 需要 先进行脱壳 , 然后才能进行恶意代码分析 ; 二、判断 APK 是否 ---- 如何判断一个 Android 应用是否 : 直接解压观察 : 将应用 APK...解压 , 观察其特征 ; Android Killer 分析 : 使用 Android Killer 等工具分析 APK 文件 , 会提示信息 , 分析种类 ; 每种的方式都会留下的指纹特征..., 判断 APK 文件是否 ; 根据的相关指纹信息 , 判断的是哪种 ; 脱壳 : 针对 APK 类型 , 进行 脱壳 ; 反编译 : 使用 反编译工具 如 ApkTool , JEB

    3.8K21

    Android Linker 与 SO 技术

    目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用、反调试、混淆、VM 等手段增加SO文件的反编译难度。...目前最主流的 SO 文件保护方案还是技术, 在SO文件和脱壳的攻防技术领域,最重要的基础的便是对于 Linker 即装载链接机制的理解。...技术 在病毒和版权保护领域,“”一直扮演着极为重要的角色。通过可以对代码进行压缩和加密,同时再辅以虚拟化、代码混淆和反调试等手段,达到防止静态和动态分析。...在 Android 环境中,Native 层的主要是针对动态链接库 SO,SO 的示意图如下: ? 工具、loader、被保护SO。 SO: 即被保护的目标 SO。...工具: 将被保护的 SO 加密、压缩、变换,并将结果作为数据与 loader 整合为 packed SO。 下面对 SO 的关键技术进行简单介绍。

    3.1K61

    Android 逆向】Dalvik 函数抽取 ⑥ ( 函数抽取实现 | 函数抽取 | 函数还原 )

    逆向】Dalvik 函数抽取 ① ( Dalvik 下的函数指令抽取与恢复 | dex 函数指令恢复时机点 | 类加载流程 : 加载、链接、初始化 ) 【Android 逆向】Dalvik 函数抽取...② ( 类加载流程分析 | ClassLoader#loadClass 分析 | BaseDexClassLoader#findClass 分析 ) 【Android 逆向】Dalvik 函数抽取...③ ( 类加载流程分析 | DexPathList#findClass 函数分析 | DexFile#loadClassBinaryName函数 ) 【Android 逆向】Dalvik 函数抽取...④ ( 类加载流程分析 | native 函数查询 | dalvik_system_DexFile.cpp#defineClassNative函数) 【Android 逆向】Dalvik 函数抽取...恢复的时机一定要保证在 函数调用 前 恢复函数 ; 这样直接将 整体加固 的 字节码文件 从内存中 dump 出来 , 也无法得到真正的字节码文件 ; 相关参考博客 ---- 函数指令 抽取 : 进行函数抽取

    1.1K10

    什么是App,以及App的利与弊

    那么接下来,我们就先介绍一下什么是App和加的原理,利与弊等。 一、什么是是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。...三、Android Dex文件原理 Android Dex文件大量使用引用给带来了一定的难度,但是从理论上讲,Android APK也是可行的。...在这个过程中,牵扯到三个角色: 1、程序:加密源程序为解数据、组装解程序和解数据 2、解程序:解密解数据,并运行时通过DexClassLoader动态加载 3、源程序:需要处理的被保护代码...Android 上的技术发展至今也不过三年,而 PC 端的技术已经有十多年的发展。...目前市面上有很多第三方的平台, 如果应用需要选哪一种好?

    3.9K50

    什么是App,以及App的利与弊

    那么接下来,我们就先介绍一下什么是App和加的原理,利与弊等。 一、什么是是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。...三、Android Dex文件原理 Android Dex文件大量使用引用给带来了一定的难度,但是从理论上讲,Android APK也是可行的。...在这个过程中,牵扯到三个角色: 程序:加密源程序为解数据、组装解程序和解数据 解程序:解密解数据,并运行时通过DexClassLoader动态加载 源程序:需要处理的被保护代码 四、的利与弊...Android 上的技术发展至今也不过三年,而 PC 端的技术已经有十多年的发展。...目前市面上有很多第三方的平台, 如果应用需要选哪一种好?

    3.2K50

    Android 逆向】技术简介 ( 动态加载 | 第一代技术 - DEX 整体加固 | 第二代技术 - 函数抽取 | 第三代技术 - VMP Dex2C | 动态库技术 )

    文章目录 一、动态加载 二、第一代技术 ( DEX 整体加固 ) 三、第二代技术 ( 函数抽取 ) 四、第三代技术 ( Java 函数 -> Native 函数 ) 五、so 动态库 一...加载的类不具有组件生命周期的特性 , 不能当做正常的组件使用 ; 如果要正常使用 动态加载 的组件类 , 则需要对类加载器修正 , 有 2 种修正方法 ; 替换 LoadedApk 的类加载器 : 【Android...Java 函数 -> Native 函数 ) ---- 第三代技术 : 将 Java 函数转为 Native 函数 ; VMP Dex2C / Java2C 该类型的保护效果是最强的 ,...多数加固厂商的此类都是需要付费的 ; 五、so 动态库 ---- so 动态库 : 基于 init , init_array , JNI_Onload 函数进行 ; 基于 自定义 linker...进行 ;

    1.5K10

    c 语言项目,C 工具,快速完成加密保护

    将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。...原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为代码,运行时由代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。...3、因此添加了强名称的程序时要去除强名称, 并在后重新添加强名称。 05函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。

    1.7K20

    工具科普篇

    工具六大特性 01 安全性 虚拟机外壳同时具备基础保护和高级保护功能,是公认的强度最高的保护方式。 加密外壳的主要作用是保护核心代码逻辑和增加软件逆向难度。高安全性是选择一款工具的金标准。...02 后程序的稳定性 一定要选择市场上比较成熟的产品。 对程序进行,会增加软件的复杂程度。程序的某些特殊处理,很容易造成保护后程序的不稳定性。...甚至会出现某些后的程序被杀毒软件拦截查杀的现象。后的程序如果不稳定,会给使用者带来极大的不便,影响工作效率。 03 后是否影响性能 选择支持性能调节的工具。...04 支持范围 选择支持范围广泛的工具。...操作系统:是否支持 Windows、Linux、macOS、Android、ARM Linux 等。 程序类型:C/C++、Delphi、Go 等静态语言编译生成的本地可执行程序。

    2.7K20

    工具的使用

    工具的使用 0x01 前言 0x01 简介 0x02 ASPack 0x03 PE-Armor 0x01 前言 这是我对工具的使用的学习记录。...0x01 简介 1.:是一种通过一系列数学运算,将可执行程序文件(EXE)或动态链接库文件(DLL)的编码进行改变(目前软件还可以压缩、加密),以达到缩小文件体积或加密程序编码的目的。...2.在控制端安装ASPack软件,对这四个木马进行后会生成备份的。 3.将的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。...0x03 PE-Armor 1.在控制端安装PE-Armor 软件。 2.用PE-Armor给四个木马进行。...3.将后的木马种植在被控制端计算机中,使用瑞星查杀,发现有一个被查杀,三个隐藏起来了。

    2.2K20

    工具简单使用

    时间20210107,环境winxp 介绍一些工具和和它们的简单使用。其中加工具都可以在看雪学院上下载。为了方便描述,就先写了一个原程序,原程序的逻辑很简单,代码如下。...使用命令“upx 待程序.exe”,即可对原程序进行,这里是“src.exe”,可以看到下面显示了压缩的信息,如下图所示,File size(文件大小)由184401变为31744。...使用命令“upx src.exe -o shell.exe”,可以保留原始程序,输出的程序为shell.exe。 然后利用exeinfo pe(可以进行查)对原程序和加程序进行分析。...下图是后的分析结果。可以看到在红色框线中,检测出了程序经过了upx加密。并且连版本都可以分析出来,为“3.09”。...如下图所示,对要的原程序和输出的后程序进行选择。这里使用的原程序和UPX中使用的原程序是同一个。

    1.8K10

    逆向-工具介绍

    经过两周尝试手动编写程序,目前也只是能实现给PE文件添加新区块,后面还有重定位表的修复,地址输入表的处理,虚拟机和花指令技术等反调试手段…一大串要学习的工作,几乎就是放弃了吧,通过这两周学习能让自己对...目前的两个主要方向是压缩和加密。...本文把穿山甲的使用流程展示如下: 流程与工程创建相似,首先在工具内创建工程 然后输入工程名和版本号 在第二栏中选择需要保护的文件,需保护的次要文件为主文件调用的DLL等,也可不选...注意此时不要选默认,否则会导致后面密码设置出错,证书设置如图: 配置好后关闭设置页面可见如下界面: 点击工具栏中的锁头按钮即可开始,成功后弹出如下消息框: 此时运行后的文件会需要用户名和密码...加密工具:VM protect ,该工具使用虚拟机技术对代码进行加密,效果可以说是目前领域最强,且资料显示以目前的激活成功教程理论解密VMP保护下的文件是几乎不可能的。

    1.9K10

    探究 .NET代码混淆

    前言 先查询一下常见的工具: DotFuscator,官方自带,据说免费版混淆程度不高 Virbox Protector,很好很优秀,但是收费 NET Reactor,可能会被识别为病毒 Obfuscar...也可以直接打开目标文件夹,然后在上方的文件路径那里直接替换成cmd后enter) 5、执行>Obfuscar.Console.exe Obfuscar.xml 6、在生成的Obfuscar文件夹中可以找到被后的同名...path="C:\Program Files\dotnet\shared\Microsoft.NETCore.App\6.0.9\" /> 其中,Module对应填入想要的类库...install --global Obfuscar.GlobalTool 3、在cmd中执行命令:obfuscar.console Obfuscar.xml 4、在上述目录中找到自动生成的Obfuscar文件夹,后的类库就存放在里面...PS:.net6的带WebAPI的exe好像失败,待测试。

    1.1K50
    领券