夹壳加固厂商特征

1.常用加固方式

类加载技术

针对apk中的classes.dex文件进行处理,放入特定的文件中,通 过native代码来对其运行时解密

使用厂商(娜迦/爱加密/梆梆)

对原dex文件整体压缩加密,保存在壳代理的dex文件尾部,加 载到内存中解密运行

使用厂商(360)

方法替换技术

将classes.dex文件中的方法代码进行提取,抽取方法,在运行 时对其进行动态解密还原

使用厂商(娜迦/梆梆)

2.加固厂商特征

娜迦:libchaosvmp.so, libddog.so libfdog.so

梆梆:libsecexe.so, libsecmain.so, libSecShell.so

梆梆企业版:libDexHelper.so, libDexHelper-x86.so

爱加密:libexec.so, libexecmain.so, ijiami.dat

360:libprotectClass.so, libjiagu.so; libjiagu.so, libjiagu_art.so; libjiagu.so, libjiagu_x86.so

百度:libbaiduprotect.so

阿里聚安全:aliprotect.dat, libsgmain.so, libsgsecuritybody.so

腾讯:libtup.so, libexec.so, libshell.so; mix.dex; lib/armeabi/mix.dex, lib/armeabi/mixz.dex

腾讯御安全:libtosprotection.armeabi.so, libtosprotection.armeabi-v7a.so, libtosprotection.x86.so

通付盾:libegis.so, libNSaferOnly.so

网秦:libnqshield.so

网易易盾:libnesec.so

APKProtect:libAPKProtect.so

几维安全:libkwscmm.so, libkwscr.so, libkwslinker.so

顶像科技:libx3g.so

3.脱壳手法

修改系统源码自动脱壳

通过hook方式对关键函数进行脱壳

开源工具如zjdroid,dexhunter进行脱壳

利用IDA或者GDB动态调式进行脱壳

分析virualapp

去框架HOOK

制作vm策略

实现vm置换

置换后销毁

其他

dex vmp(制作native oncreate)

典型非主流加固

脱壳机

虚拟机技术

上一篇:百度地图 坑爹之路


下一篇:Flutter 添加 armeabi-v7a 本地库出现的一些问题