发新帖

APK简单加壳实现

[复制链接]
24769 12


如果对本贴有仕么不解的

留下你的QQ我会联系你

demo源码也有



JAVA 运行所需要依赖的API的是动态链接的,这个跟C/C++不一样,C/C++开发的程序可以是静态链接的也可以是动态链接的,其中静态链接是在编译时已经做好的,

动态链接的运行时才链接的,也就是window 的DLL文件,linxu的SO文件都是动态链接库。java是动态链接,也就是说我们代码中 new一个对象,
static Class 调用,Class.forNmae(),Class.loderclass()这些动作,JVM先把这个class文件
加载到内存然后产生一个对象并吧这对象的地址返回给new,这样我们就可以调用对象的成员了。
其中JVM把class文件加载到内存就是用classloader了,关于classloader的详解可以参考这里http://blog.chinaunix.net/uid-21227800-id-65885.html
很高兴的是JAVA API中为我们提供了ClassLoader这个类,我们用这个类可以通过反射加载自己的class,正因为如初使得JAVA有很强的生命力,在防破解
加壳自定义插件方面发挥的很好,比如ecplise的思想就是“一切都是插件”,他的功能都是通过安装插件完成的,扩展性很强,是很多公司都为他开发插件作为IDE
,也很受开发者欢迎,其中ecplise就是靠ClassLoader加载插件了,这就看出了ClassLoader的强大。



在android中虽然android 的APK是用JAVA开发的,但是android 的虚拟机dalvik并不是java标准的JVM,android的可执行文件是DEX,而JVM的是.class他们并不兼容,
关于他们的区别可以参考这里http://www.w2bc.com/Article/14646  。自然的用JAVA 标准的classloader 不能加载DEX,但是谷歌还是基本支持全部JAVA的特性,
因此classloder这个很好的JAVA特性谷歌不会放过,所以谷歌也提供给我们加载DEX的classloader,他的特性和用法跟JAVA标准的classloader差不多。
一个是DexClassLoader另一个是PathClassLoader,他们的区别可以参考这里http://www.apkbus.com/forum.php?mod=viewthread&tid=138499


这里只介绍DexClassLoader,那我们怎样用她来加壳免杀?

http://img.blog.csdn.net/20150501130156243?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmV5b25kMjk2MDg5NzI3/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center


先看看API文档的说明他有四个参数,dexpath表示所要加载DEX文件的路径,

optimizedDirectory便是优化的DEX存放路径,libraryPath表示DEX中如果调用自己的SO文件的路径,parent表示为自己的DexClassLoader指定父classloader我们知道Classloader是双亲委派机制的,这是因为每个classloader只会在指定的文件了寻找和加载class,比如
上面如果在dexpath参数里指定了/sdcard/test.dex,那么这个dexclassloader只会在/sdcard/test.dex查找class,
如果我们的DEXclassloader通过反射加载了/sdcard/test.dex里的一个class com.my.test,而com.my.test如果
有 这样一句 String str="22555",我们知道JAVA是动态连接语言,这是如果 String类需要加载,那么他默认的classloader也是所属class的classloader,比如这里所属类是com.my.test,而com.my.test的classloader是我们的
DExclassloader,而如果我们的DExclassloader去自己的文件里test.dex找String类自然找不到,就抛出ClassNotFoundExcpiton,所以双亲委派机制就解决这个问题,当一个classloaer去加载一个class时他先调用他的parent Classloader去加载,如果parent Classloader没有在自己的文件里找到这个classs那么子classloader才去加载。


那么怎么加壳和免杀?


其实思路很简单,把我们所要加壳保护的代码导出成DEX,关于导出DEX看着里
http://www.cnblogs.com/over140/archive/2011/11/23/2259367.html
然后加密,放到服务器或者APK其他文件夹,
运行时通过再读取文件解密然后再用dexclassloader加载运行,这样就可以保护我们的代码的,
其实爱加密,360等加固都是这样的基本思路


比如爱加密的就这这样
http://img.blog.csdn.net/20150501133302942?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmV5b25kMjk2MDg5NzI3/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center









箭头指向的就是原DEX,就是被加密保护的,至于加密解密其实很简单,我举个最简单的例子,把要保护的DEX文件

的每个字节值+1,解密时-1,这样即使拿到DEX也没用。加密我们可以事先通过算法加密,然后才放到APK里,

关键是解密,我们都知道APK的入口是application类,这时我们这样在applicatian类里运行加密程序完成DEx的解壳然后用dexclassloader加载并运行,

当然了处于安全,解壳和加载DEx的算法应该放在SO,在application里通过JNI调用,其实爱加密也是这样做



http://img.blog.csdn.net/20150501134539731?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmV5b25kMjk2MDg5NzI3/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

图中的箭头指向就是他的解密SO


关于爱加密详细原理可以参考这里


http://blog.csdn.net/chengyingzhilian/article/details/38372601



所以用dexclassloader加壳就这么简单









至于包名的跟不用说了,每个APK都有自己唯一的包名,没有源码情况下

改包名麻烦,也就是说包名一般不该,所以给杀毒软件提供了很好的特征

依据,也就是说这个包名的APK如果被检测为木马的,哪怕代码在修改

包名不改很容易看出。




不过这里我不提倡大家用于实质非法活动,这是供大家学习研究,对杀毒

安全的研究和理解




关于用dexclassloader动态加载DEx存在的问题,我们知道dexclassloader

加载的类生命周期是虚拟机直接管理,但是对于组件类比如activity他们的声明周期不是由虚拟机直接管理,而是由各种对应的框架层manager管理,比如activity是有activitymanger


http://img.blog.csdn.net/20150501145316533?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmV5b25kMjk2MDg5NzI3/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center

管理这就是为什么我们不能new activity的原因,只能通过startActivity()反射加载。

但是最终activity也是用户classloader加载的。之所以这个组件类是用各框架层管理器

管理是有原因的,因为这些类的声明周期是随机的,不可预知的,比如接受短信的

BroadcastRecivier,当有短信来时系统收到了,交给广播管理器广播intent,如果我们的

的androimainfest.xml定义了一个<recivier>,来接受短信,这是广播管理器会通知我们APP的主线程new 我们的BroadcastRecivier类并且调用onReciver()函数,这一切都是通过反射加载的。也就是new BroadcastRecivier是有短信来了才NEW,而 短信是随机的,所以我们不可能在代码中new ,你知道短信仕么时候来吗?!那么你NEW?!


这里就关键了,BroadcastRecivier组件类最终也是用classloader加载的,如果这个classloader是我们定义的Dexclassloader那么不管我们的组件类放在哪里都会被正常加载并且不存在生命周期问题,然而加载这些组件类的都是都APK的主线程ActivityThread来做,他用的是他自己的classloader加载,我们只把他的classloader替换成我们移动一的就得了

关于实现方案我是参考jack_jia的来做http://blog.csdn.net/androidsecurity/article/details/8809542

红色箭头是包含有activity等组件类的DEX,椭圆椭圆圈是替换classloaderder

http://img.blog.csdn.net/20150501151748115?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmV5b25kMjk2MDg5NzI3/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center



关键代码

File dex=new File(Environment.getExternalStorageDirectory().toString()+File.separator+"proxy.dex");

try {
InputStream input=this.getAssets().open("proxy.dex");
dex.createNewFile();
FileOutputStream fo=new FileOutputStream(dex);
int a=0;
byte bf[]=new byte[1024];
while ((a=input.read(bf))!=-1) {
fo.write(bf,0,a);
fo.flush();
}
fo.close();
input.close();
} catch (IOException e) {

e.printStackTrace();
}

File libs = this.getDir("payload_lib", MODE_PRIVATE);  
        
        String libPath = libs.getAbsolutePath();  
File dex_in=new File(Environment.getExternalStorageDirectory().toString()+File.separator+"proxy.dex");
File optimizedDexOutputPath = getDir("temp", Context.MODE_PRIVATE);
ClassLoader apk_loader=getClassLoader();


loader=new DexClassLoader(dex_in.getAbsolutePath(),
optimizedDexOutputPath.getAbsolutePath(), null, apk_loader);


Object currentActivityThread = RefInvoke.invokeStaticMethod(  
            "android.app.ActivityThread", "currentActivityThread",  
            new Class[] {}, new Object[] {});  
    String packageName = this.getPackageName();  
    ArrayMap mPackages =  (ArrayMap) RefInvoke.getFieldOjbect(  
            "android.app.ActivityThread", currentActivityThread,  
            "mPackages");  
    WeakReference wr = (WeakReference) mPackages.get(packageName);  
  /*  DexClassLoader dLoader = new DexClassLoader(dex_in.getAbsolutePath(), optimizedDexOutputPath.getAbsolutePath(),  
            libPath, (ClassLoader) RefInvoke.getFieldOjbect(  
                    "android.app.LoadedApk", wr.get(), "mClassLoader")); */
    RefInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader", wr.get(), loader);  
      如果有仕么不解的

留下你的QQ我会联系你

demo源码也有


举报 使用道具

回复

精彩评论12

xly1208    发表于 2015-11-12 09:00:26 | 显示全部楼层
楼主有完整的加壳和运行时脱壳的代码吗,也就是完整的android工程?

点评

有啊 ,肯定能运行才说  详情 回复 发表于 2015-11-12 09:32

举报 使用道具

回复 支持 反对
beyond296089727    发表于 2015-11-12 09:32:48 | 显示全部楼层
xly1208 发表于 2015-11-12 09:00
楼主有完整的加壳和运行时脱壳的代码吗,也就是完整的android工程?

有啊 ,肯定能运行才说

点评

楼主能发一份吗,还是直接研究代码才给力  详情 回复 发表于 2015-11-12 10:08

举报 使用道具

回复 支持 反对
xly1208    发表于 2015-11-12 10:08:47 | 显示全部楼层
beyond296089727 发表于 2015-11-12 09:32
有啊 ,肯定能运行才说

楼主能发一份吗,还是直接研究代码才给力

点评

加我QQ296089727  详情 回复 发表于 2015-11-12 16:12
邮箱  详情 回复 发表于 2015-11-12 10:16

举报 使用道具

回复 支持 反对
xly1208    发表于 2015-11-12 10:16:29 | 显示全部楼层
xly1208 发表于 2015-11-12 10:08
楼主能发一份吗,还是直接研究代码才给力

邮箱[email protected]

举报 使用道具

回复 支持 反对
不依    发表于 2015-11-12 11:19:25 | 显示全部楼层
发一份出来嘛

举报 使用道具

回复 支持 反对
nixiangweilai    发表于 2015-11-12 12:01:50 | 显示全部楼层
谢谢楼主的分享,能不能给我发一份demo研究一下[email protected]

举报 使用道具

回复 支持 反对
beyond296089727    发表于 2015-11-12 16:12:44 | 显示全部楼层
xly1208 发表于 2015-11-12 10:08
楼主能发一份吗,还是直接研究代码才给力

加我QQ296089727

举报 使用道具

回复 支持 反对
hzn201    发表于 2015-11-12 17:41:22 | 显示全部楼层
楼主 能发一份demo吗  QQ:896667258 邮箱 [email protected]

举报 使用道具

回复 支持 反对
5000    发表于 2015-11-12 22:24:15 | 显示全部楼层
求分享  [email protected]   QQ27122784

举报 使用道具

回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表