分享一个360加固脱壳模拟器
前段时间由于工作需要,需要对一个360加固后的APK进行脱壳,网上查了一些相关资料,发现一篇论坛里前辈写的帖子《360加固成功脱壳》。结合自己对ART机制的了解,dex文件在ART上运行需要转换为OAT格式,因此壳在还原代码时少不了要将解密后的DEX文件利用dex2oat进行还原。所以觉得这种脱壳方法很有可行性。无奈附件中的dex2oat怎么也运行不起来(估计人品不好),所以干脆自己修改4.4的源码编译,做个虚拟机脱。下载编译源码的帖子很多,过程这儿就不讲了,直接上成果。修改源码部分如下(art/dex2oat.cc):http://bbs.pediy.com/upload/attach/201707/602345_g25t1a7zafn6aro.png(大意就是将还未转换的dex文件输出,因为360存在.jiagu目录下,因此作为过滤条件)
修改完源码编译,提取相关的.img文件,然后创建虚拟机。运行后,设置运行模式为ART模式。装上加固的APP,运行一下,观察app目录下的.jiagu文件夹下就有还原的dex文件了。
打包好的虚拟机和加固样本:链接:http://pan.baidu.com/s/1i48XLpr 密码:3s9u
页:
[1]