Android逆向之路---脱壳360加固

admin

前言

众所周知，现在软件在防止逆向采取了混淆，加壳等措施。比如360加固，腾讯加固，梆梆加固等等。
这两天在逆向一款app的时候找到了一个不错的xposed插件推荐给大家，

下载地址：点我下载

前提环境

• xposed
• root过的android手机
• dumpdex.apk文件(下载地址在上方)
  

自动脱壳

安装完成dumpdex.apk之后，在xposed里面软重启，激活。就好了。

[url=http://martinhan.site/images/dumpdex1213.png] [/url]

现在就可以脱壳了，我们可以找一个已经被加固的app，
在此就不列举app的名字了。

我们点击app打开，这个时候WrBug会自动的帮我们脱壳完成。
此时此刻我们只需要去对应目录找dex文件就好了。

路径如图：

接下来就可以用adb pull命令将对应的dex文件取出，脱壳完毕。

xposed hook 360加壳后app注意事项

由于360加壳之后，更改了classloader，因此我们用原本的classloader是会报类无法被找到的异常的。

不过我们去分析源码便知道，我们要先hook到360的classloader，再从360的classloader里面获取到app运行时的类。

360加固源码分析

类com.stub.StubApp

1. public class StubApp
   
2.   extends Application
   
3. {
   
4.   private static boolean loadDexToC = false;
   
5.   private static boolean loadFromLib;
   
6.   private static boolean needX86Bridge;
   
7.   public static String strEntryApplication;
   
8.   private static Application ?�A = null;
   
9.   private static Application ??;
   
10.   private static String ??;
    
11.   private static Context ??;
    
12.   static
    
13.   {
    
14.     strEntryApplication = "com.qihoo360.crypt.entryRunApplication";
    
15.     ?? = null;
    
16.     ?? = "libjiagu";
    
17.     loadFromLib = false;
    
18.     needX86Bridge = false;
    
19.     throw new VerifyError("bad dex opcode");
    
20.   }
    
21.   //--------略--------
    
22.    private static Application ᵢˋ(Context context) {
    
23.         try {
    
24.             if (ᵢˎ == null) {
    
25.                 ClassLoader classLoader = context.getClassLoader();
    
26.                 if (classLoader != null) {
    
27.                     Class loadClass = classLoader.loadClass(strEntryApplication);
    
28.                     if (loadClass != null) {
    
29.                         ᵢˎ = (Application) loadClass.newInstance();
    
30.                     }
    
31.                 }
    
32.             }
    
33.         } catch (Exception e) {
    
34.         }
    
35.         return ᵢˎ;
    
36.     }
    
37.   //--------略--------
    
38. }

复制代码

上面代码中有一个方法，这个方法的名称是乱码，你没看错，这个方法名称本身就是一串奇怪的字符，我们需要Hook到这个方法，然后拿出classloader才可以

Hook代码如下

1. XposedHelpers.findAndHookMethod("com.stub.StubApp", lpparam.classLoader, "ᵢˋ", Context.class, new XC_MethodHook() {
   
2.                 @Override
   
3.                 protected void afterHookedMethod(MethodHookParam param) throws Throwable {
   
4.                     super.afterHookedMethod(param);
   
5.                     //获取到360的Context对象，通过这个对象来获取classloader
   
6.                     Context context = (Context) param.args[0];
   
7.                     //获取360的classloader，之后hook加固后的代码就使用这个classloader
   
8.                     ClassLoader classLoader = context.getClassLoader();
   
9.                     //替换classloader,hook加固后的真正代码
   
10.                     XposedHelpers.findAndHookMethod("com.alibaba.fastjson.JSON", classLoader, "toJSONString", Object.class, new XC_MethodHook() {
    
11.                         @Override
    
12.                         protected void afterHookedMethod(MethodHookParam param) throws Throwable {
    
13.                             super.afterHookedMethod(param);
    
14.                             XposedBridge.log(TAG + "JSONObject");
    
15.                             XposedBridge.log(TAG + param.args[0].toString());
    
16.                             XposedBridge.log(TAG + param.getResult());
    
17.                         }
    
18.                     });
    
19.                 }
    
20.             });

复制代码

这样就可以了

注意!!!

由于360加固版本也会更新换代，升级，变形，也希望读者读到了这里可以自己思考。
今天是2018/12/13，如果你看到这篇文章的时间，360加固已经更新了N个版本，欢迎call我，一起来找到最新的破解办法。

网上目前流传很多其他办法，例如：

1. XposedHelpers.findAndHookMethod("com.qihoo.util.StubApp579459766", loadPackageParam.classLoader,
   
2.                   "getNewAppInstance", Context.class, new XC_MethodHook() {
   
3.                       @Override
   
4.                       protected void afterHookedMethod(MethodHookParam param) throws Throwable {
   
5.                           super.afterHookedMethod(param);
   
6.                           //获取到360的Context对象，通过这个对象来获取classloader
   
7.                           Context context = (Context) param.args[0];
   
8.                           //获取360的classloader，之后hook加固后的就使用这个classloader
   
9.                           ClassLoader classLoader =context.getClassLoader();
   
10.                           //下面就是强classloader修改成360的classloader就可以成功的hook了
    
11.                           XposedHelpers.findAndHookMethod("xxx.xxx.xxx.xxx", classLoader, "xxx", String.class, String.class, new XC_MethodHook() {
    
12.                               @Override
    
13.                               protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
    
14.                                   super.beforeHookedMethod(param);
    
15.                                   Log.i(TAG, "密钥： " + (String) param.args[0]);
    
16.                                   Log.i(TAG, "内容： " + (String) param.args[1]);
    
17.                                  param.setResult((String) param.args[1]);
    
18.                               }
    
19.                           });

复制代码

上方的方法其实已经是360加固16年的破解版本了，
现在是8102年了，还请读者自行辨析。

目前16年的版本已经无效了，请使用最新的方法

写在最后

技术瞬息万变，30年河东30年河西，希望大家都可以抓住那些不变的东西，努力进取。

争取在每次浪潮来临之际，能够赶上每一波更新，加油！

注：感谢作者WrBug。

项目github地址如下：

点我点我

关于我

个人博客：MartinHan的小站

博客网站：hanhan12312的专栏

知乎：MartinHan01

1. 原文地址:http://martinhan.site/2018-12-13/Android%E9%80%86%E5%90%91%E4%B9%8B%E8%B7%AF---%E8%84%B1%E5%A3%B3360%E5%8A%A0%E5%9B%BA%E3%80%81%E4%B8%8Exposed%20hook%E6%B3%A8%E6%84%8F%E4%BA%8B%E9%A1%B9.html

复制代码

ssseee1234

登录可见评论