- 综合排序
- 最热优先
- 最新优先
- 来自专栏韩曙亮的移动开发专栏
【Android 逆向】加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
文章目录 一、加壳技术识别 二、VMP 加壳示例 三、Dex2C 加壳示例 一、加壳技术识别 ---- 加壳技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析其 DEX 文件 , 需要先 识别出该 APK 是使用的什么技术进行的加壳 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可 ; 如果该 APK 使用了 VMP 加壳 , 则需要逆向分析解释器 ; 只有识别出加壳的方式 , 才能有针对的进行脱壳 ; 上一篇博客 【Android 逆向】加壳技术简介 ( 动态加载 | 第一代加壳技术 - DEX 整体加固 | 第二代加壳技术 - 函数抽取 | 第三代加壳技术 - VMP / Dex2C | 动态库加壳技术 ) 中介绍了几种常用的加壳技术 ; 每个加壳的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的一种加壳技术 , 也有可能使用 3 者中的多种加壳技术 , 进行混合加壳 ; 整体加固 就是对 DEX 文件进行 整体加密 , https://blog.csdn.net/shulianghan/category
6.7K42编辑于 2023-03-30 - 来自专栏非著名程序员
什么是App加壳,以及App加壳的利与弊
那么接下来,我们就先介绍一下什么是App加壳和加壳的原理,利与弊等。 一、什么是加壳? 加壳是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。 三、Android Dex文件加壳原理 Android Dex文件大量使用引用给加壳带来了一定的难度,但是从理论上讲,Android APK加壳也是可行的。 在这个过程中,牵扯到三个角色: 1、加壳程序:加密源程序为解壳数据、组装解壳程序和解壳数据 2、解壳程序:解密解壳数据,并运行时通过DexClassLoader动态加载 3、源程序:需要加壳处理的被保护代码 Android 上的加壳技术发展至今也不过三年,而 PC 端的加壳技术已经有十多年的发展。 目前市面上有很多第三方加壳的平台, 如果应用需要加壳选哪一种好?
4.6K50发布于 2018-02-02 - 来自专栏非著名程序员
什么是App加壳,以及App加壳的利与弊
那么接下来,我们就先介绍一下什么是App加壳和加壳的原理,利与弊等。 一、什么是加壳? 加壳是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。 三、Android Dex文件加壳原理 Android Dex文件大量使用引用给加壳带来了一定的难度,但是从理论上讲,Android APK加壳也是可行的。 在这个过程中,牵扯到三个角色: 加壳程序:加密源程序为解壳数据、组装解壳程序和解壳数据 解壳程序:解密解壳数据,并运行时通过DexClassLoader动态加载 源程序:需要加壳处理的被保护代码 四、加壳的利与弊 Android 上的加壳技术发展至今也不过三年,而 PC 端的加壳技术已经有十多年的发展。 目前市面上有很多第三方加壳的平台, 如果应用需要加壳选哪一种好?
3.9K50发布于 2018-02-08 - 来自专栏二进制漏洞研究
加壳脱壳笔记
常见的壳 UPX、ASPack、Petite、WinUpack(Upack)、Themida 脱壳exe和dll的区别 DLL中的OEP是DllMain原始函数的开始地址,加壳DLL列出的开始地址是脱壳存根中的一个地址
2K40发布于 2019-02-27 - 来自专栏韩曙亮的移动开发专栏
【Android 逆向】加壳技术识别 ( 函数抽取 与 Native 化加壳的区分 | VMP 加壳与 Dex2C 加壳的区分 )
文章目录 一、加壳特征识别 1、函数抽取 与 Native 化加壳的区分 2、VMP 加壳与 Dex2C 加壳的区分 一、加壳特征识别 ---- 1、函数抽取 与 Native 化加壳的区分 函数抽取 与 Native 化加壳的区别 : 函数抽取 : 没有将函数 Java 代码转为 Native 代码 , 函数体无效 ; VMP 加壳 : 将函数 Java 代码转为 Native 代码 ; Dex2C 加壳 : 将函数 Java 代码转为 Native 代码 ; 如果函数是 非 Native 函数 , 并且 函数体 无效 , 说明这是 函数抽取 加壳 ; 如果函数是 Native 函数 , 说明这是 VMP 加壳 或者 Dex2C 加壳 ; 2、VMP 加壳与 Dex2C 加壳的区分 VMP 壳的核心原理是 Dalvik 解释器 , 对于每个 VMP 保护的函数来说 , 都有一个 VMP 解释器 加壳 ; 函数的 注册地址不同 , 并且 函数逻辑不相似 , 则使用的是 Dex2C 加壳 ;
1.3K20编辑于 2023-03-30 - 来自专栏韩曙亮的移动开发专栏
【Android 逆向】脱壳解决方案 ( DEX 整体加壳 | 函数抽取加壳 | VMP 加壳 | Dex2C 加壳 | Android 应用加固防护级别 )
文章目录 一、DEX 整体加壳 二、函数抽取加壳 三、VMP 加壳 四、Dex2C 加壳 五、Android 应用加固防护级别 一、DEX 整体加壳 ---- DEX 整体加壳 就是将 完整的 DEX 文件 , 进行加密 , 只保留一个壳应用 , 应用执行时 , 壳应用解密 DEX 文件 , 然后执行解密后的 DEX 文件 ; DEX 整体加壳 比较容易进行 脱壳 , 可以通过 文件加载 和 内存加载 DEX 文件是完整的 , 在合适的加载时机 , 得到 DEX 文件内存的起始地址 , 直接 使用 adb shell dump 命令 , 将内存中的 DEX 文件 DUMP 下来即可 ; 二、函数抽取加壳 ---- 函数抽取加壳方案中函数解密时机 : 加载执行前解密 : 在 类加载 和 函数执行前 将 抽取的函数进行解密 ; 动态解密 : 函数执行过程中 , 进行 动态解密 ; 函数抽取 的 脱壳方案 加壳 ---- Dex2C 壳 是根据 编译原理 , 通过 词法 句法 分析 , 将 Java 代码 进行了 等价的语义转换 , 转为了 C 代码 , 基本无法完全恢复为 Java 代码 ; 核心是
2.6K20编辑于 2023-03-30 - 来自专栏全栈程序员必看
c 语言加壳项目,C 加壳工具,快速完成加密保护
将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入加壳工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。 原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为壳代码,运行时由壳代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。 3、因此添加了强名称的程序加壳时要去除强名称, 并在加壳后重新添加强名称。 05函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。
2.3K20编辑于 2022-09-07 - 来自专栏全栈程序员必看
加壳工具的使用
加壳工具的使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。 0x01 加壳简介 1.加壳:是一种通过一系列数学运算,将可执行程序文件(EXE)或动态链接库文件(DLL)的编码进行改变(目前加壳软件还可以压缩、加密),以达到缩小文件体积或加密程序编码的目的。 2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份的。 3.将加壳的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。 0x03 PE-Armor加壳 1.在控制端安装PE-Armor加壳 软件。 2.用PE-Armor给四个木马进行加壳。 3.将加壳后的木马种植在被控制端计算机中,使用瑞星查杀,发现有一个被查杀,三个隐藏起来了。
3K20编辑于 2022-09-14 - 来自专栏Virbox加壳工具
加壳工具科普篇
加壳工具是指注入一段功能代码到 APP 中,并可以将原始的二进制指令经过混淆、虚拟化等手段进行等价变换,实现满足 APP 多种安全需求。根据功能的不同可以分为:压缩壳、加密壳、虚拟机壳。 加壳工具六大特性 01 安全性 虚拟机外壳同时具备基础保护和高级保护功能,是公认的强度最高的保护方式。 加密外壳的主要作用是保护核心代码逻辑和增加软件逆向难度。高安全性是选择一款加壳工具的金标准。 02 加壳后程序的稳定性 一定要选择市场上比较成熟的加壳产品。 对程序进行加壳,会增加软件的复杂程度。加壳程序的某些特殊处理,很容易造成保护后程序的不稳定性。 甚至会出现某些加壳后的程序被杀毒软件拦截查杀的现象。加壳后的程序如果不稳定,会给使用者带来极大的不便,影响工作效率。 03 加壳后是否影响性能 选择支持性能调节的加壳工具。 04 支持范围 选择支持范围广泛的加壳工具。
3.3K20发布于 2020-03-31 - 来自专栏全栈程序员必看
加壳工具简单使用
时间20210107,环境winxp 介绍一些加壳工具和和它们的简单使用。其中加壳工具都可以在看雪学院上下载。为了方便描述,就先写了一个原程序,原程序的逻辑很简单,代码如下。 使用命令“upx 待加壳程序.exe”,即可对原程序进行加壳,这里是“src.exe”,可以看到下面显示了压缩的信息,如下图所示,File size(文件大小)由184401变为31744。 使用命令“upx src.exe -o shell.exe”,可以保留原始程序,输出的加壳程序为shell.exe。 然后利用exeinfo pe(可以进行查壳)对原程序和加壳程序进行分析。 下图是加壳后的分析结果。可以看到在红色框线中,检测出了程序经过了upx加密。并且连版本都可以分析出来,为“3.09”。 如下图所示,对要加壳的原程序和输出的加壳后程序进行选择。这里使用的原程序和UPX中使用的原程序是同一个。
2.7K10编辑于 2022-09-14 - 来自专栏全栈程序员必看
逆向-加壳工具介绍
经过两周尝试手动编写加壳程序,目前也只是能实现给PE文件添加新区块,后面还有重定位表的修复,地址输入表的处理,虚拟机和花指令技术等反调试手段…一大串要学习的工作,几乎就是放弃了吧,通过这两周学习能让自己对 目前加壳的两个主要方向是压缩和加密。 本文把穿山甲的使用流程展示如下: 加壳流程与工程创建相似,首先在工具内创建工程 然后输入工程名和版本号 在第二栏中选择需要保护的文件,需保护的次要文件为主文件调用的DLL等,也可不选 注意此时不要选默认,否则会导致后面密码设置出错,证书设置如图: 配置好后关闭设置页面可见如下界面: 点击工具栏中的锁头按钮即可开始加壳,成功后弹出如下消息框: 此时运行加壳后的文件会需要用户名和密码 加密壳工具:VM protect ,该工具使用虚拟机技术对代码进行加密,效果可以说是目前加壳领域最强,且资料显示以目前的激活成功教程理论解密VMP保护下的文件是几乎不可能的。
2.4K10编辑于 2022-09-14 - 来自专栏全栈程序员必看
c# 加壳工具推荐
将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入加壳工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。 原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为壳代码,运行时由壳代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。 3、因此添加了强名称的程序加壳时要去除强名称, 并在加壳后重新添加强名称。 函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。
3.3K10编辑于 2022-09-14 - 来自专栏DotNet NB && CloudNative
探究 .NET代码混淆加壳
前言 先查询一下常见的加壳工具: DotFuscator,官方自带,据说免费版混淆程度不高 Virbox Protector,很好很优秀,但是收费 NET Reactor,可能会被识别为病毒 Obfuscar 也可以直接打开目标文件夹,然后在上方的文件路径那里直接替换成cmd后enter) 5、执行>Obfuscar.Console.exe Obfuscar.xml 6、在生成的Obfuscar文件夹中可以找到被加壳后的同名 path="C:\Program Files\dotnet\shared\Microsoft.NETCore.App\6.0.9\" /> </Obfuscator> 其中,Module对应填入想要加壳的类库 install --global Obfuscar.GlobalTool 3、在cmd中执行命令:obfuscar.console Obfuscar.xml 4、在上述目录中找到自动生成的Obfuscar文件夹,加壳后的类库就存放在里面 PS:.net6的带WebAPI的exe好像加壳失败,待测试。
1.8K50编辑于 2023-10-28 - 来自专栏韩曙亮的移动开发专栏
【Android 逆向】APK 加壳脱壳现状 | 判断 APK 是否加壳 | APK 逆向流程
文章目录 一、APK 加壳脱壳现状 二、判断 APK 是否加壳 三、APK 逆向流程 一、APK 加壳脱壳现状 ---- 加壳覆盖率很高 : 当前的应用 , 基本上 90% 都会加壳 , 各大加固厂商 , 基本都 提供免费的加壳服务 ; 很难找到不加壳的应用 ; 脱壳场景 : 竞品分析 : 分析竞品 APK 时 , 如果对方加壳 , 需要 先脱壳 , 然后才能分析 ; 恶意操作分析 : 恶意应用一般都会加壳 , 并且加的壳都很特殊 , 需要 先进行脱壳 , 然后才能进行恶意代码分析 ; 二、判断 APK 是否加壳 ---- 如何判断一个 Android 应用是否加壳 : 直接解压观察 : 将应用 APK 解压 , 观察其特征 ; Android Killer 分析 : 使用 Android Killer 等工具分析 APK 文件 , 会提示加壳信息 , 分析加壳种类 ; 每种加壳的方式都会留下加壳的指纹特征 , 判断 APK 文件是否加壳 ; 根据加壳的相关指纹信息 , 判断加的是哪种壳 ; 脱壳 : 针对 APK 加壳类型 , 进行 脱壳 ; 反编译 : 使用 反编译工具 如 ApkTool , JEB
5.3K21编辑于 2023-03-30 - 来自专栏包子的书架
加壳上碰到的问题
最近由于公司项目原因,开始学习入手C++的加壳技术壳的编写,参考文献oBuYiSeng的博客里面详细的介绍了加壳的原理和开发步骤。 个人在开发的时候碰到了一些问题,总结一下,希望对在做加壳的朋友有帮助,如果有不足的地方,望大家指出 个人的开发环境:vs2015 问题一 在构建项目加壳代码Stub.DLL的时候出现LNK2001 图一.png 解决:在构建的时候默认不要添加支持MFC的支持 问题二: 在解决问题一后,构建项目后,实现加壳代码后,添加了指定程序入口函数 #pragma comment(linker,
1.3K20发布于 2020-06-16 - 来自专栏全栈程序员必看
ARM Linux ELF加壳方案
早期的加壳产品主要利用压缩加密技术对文件进行整体性保护,但随着逆向技术的提升,整体性的文件保护方案已经被攻克,于是加壳产品引入虚拟机概念,可以实现函数级的代码控制流保护,加密的颗粒度更加细致,激活成功教程难度呈几何级增加 压缩加密 技术原理类似桌面应用的「压缩壳」,将 SO 文件中的代码段压缩或加密,在入口函数中解密再执行。
7K30编辑于 2022-11-07 - 来自专栏CSharp编程大全
c# 加壳工具推荐
将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入加壳工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。 原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为壳代码,运行时由壳代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。 3、因此添加了强名称的程序加壳时要去除强名称, 并在加壳后重新添加强名称。 函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。
2.2K20编辑于 2022-04-18 - 来自专栏韩曙亮的移动开发专栏
【Android 逆向】加壳技术简介 ( 动态加载 | 第一代加壳技术 - DEX 整体加固 | 第二代加壳技术 - 函数抽取 | 第三代加壳技术 - VMP Dex2C | 动态库加壳技术 )
文章目录 一、动态加载 二、第一代加壳技术 ( DEX 整体加固 ) 三、第二代加壳技术 ( 函数抽取 ) 四、第三代加壳技术 ( Java 函数 -> Native 函数 ) 五、so 动态库加壳 一 ( DEX 整体加固 ) ---- 第一代加壳技术 : DEX 字节码文件整体加密 使用自定义 DexClassLoader 加载 DEX 文件 第一代壳的特征 : 在内存中 , DEX 文件是整体的连续的内存块 Java 函数 -> Native 函数 ) ---- 第三代加壳技术 : 将 Java 函数转为 Native 函数 ; VMP 加壳 Dex2C / Java2C 该类型的加壳保护效果是最强的 , 多数加固厂商的此类加壳都是需要付费的 ; 五、so 动态库加壳 ---- so 动态库加壳 : 基于 init , init_array , JNI_Onload 函数进行加壳 ; 基于 自定义 linker 进行加壳 ;
2.2K10编辑于 2023-03-30 - 来自专栏韩曙亮的移动开发专栏
【Android 逆向】Dalvik 函数抽取加壳 ⑥ ( 函数抽取加壳实现 | 函数抽取 | 函数还原 )
Dex 文件中 ; 函数抽取后 , 需要将替换的函数指令记录下来 , 之后函数还原的时候 , 还要将其恢复回去 ; 二、函数还原 ---- 函数还原流程参考 【Android 逆向】Dalvik 函数抽取加壳 ① ( Dalvik 下的函数指令抽取与恢复 | dex 函数指令恢复时机点 | 类加载流程 : 加载、链接、初始化 ) 【Android 逆向】Dalvik 函数抽取加壳 ② ( 类加载流程分析 | ClassLoader#loadClass 分析 | BaseDexClassLoader#findClass 分析 ) 【Android 逆向】Dalvik 函数抽取加壳 ③ ( 类加载流程分析 | DexPathList#findClass 函数分析 | DexFile#loadClassBinaryName函数 ) 【Android 逆向】Dalvik 函数抽取加壳 ④ ( 类加载流程分析 | native 函数查询 | dalvik_system_DexFile.cpp#defineClassNative函数) 【Android 逆向】Dalvik 函数抽取加壳 ⑤ ( 类加载流程分析 |
1.5K10编辑于 2023-03-30 - 来自专栏全栈程序员必看
VCProtect虚拟机加壳工具
VCProtect虚拟机加壳工具 虚拟机加壳工具,可以给目标程序加上虚拟机,同时提供多态变形功能。
81620编辑于 2022-09-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号