让IP飘一会 发表于 2022-2-28 15:39

新手安卓逆向【8】-梆梆加固-【脱壳+修复】

本帖最后由 让IP飘一会 于 2022-3-1 12:44 编辑

运行环境:
WIN10
涉及工具:
MT管理器【或 NP管理器】,逍遥模拟器,BlackDex32【脱壳工具】
教程类型:
如 逆向限制,算法分析等


以下为图文内容:

0x1 前言

这次也是一个对壳加固的分析脱壳以及修复教程,梆梆加固 {:6_210:}我发现在逆向逆向中也有看到的,虽然没有腾讯御安全加固那么常见,不过也时常有吧,
而且今天说它的原因是,难度适中{:6_205:},所以还是新手系列的贴子{:6_200:},整个操作下来其实跟腾讯差不多的,都是一个套路 -> 脱壳+修复+找入口+改入口+过签,
简直跟上一个贴子一毛一样{:6_197:},下面将以二级建造师考试 软件作为本次例子【我是应用宝下的】





0x2 目的


就一个,对梆梆加固的软件进行 脱壳+修复 {:5_188:}

0x3 分析【脱壳】


1.下好app安装后,打开MT管理器->安装包提取->MT2文件夹即可看到提取好的apk->点击->
可以看到 该软件采用了 梆梆加固





2.现在就是开始脱壳了:打开提前准备好的脱壳工具 BlackDex32,然后点击 二级建造师考试 【想给哪个软件脱壳就点哪个{:5_193:}】,
大概等几秒就脱好了,显示成功的时候,记住这个脱好的文件存储路径【只要不结束 BlackDex32后台等会返回查看就行了{:5_123:}】







3.找到上面脱出来的文件存储路径,然后使用MT管理器的双窗口模式,打开存放脱出的dex文件夹,即看到脱出来的.dex文件了,如下:





4.然后点击左边要脱壳的软件,点 【查看】,如下:






引用上个帖子的【偷个懒】{:6_221:}:这里说一点,看左边【原包的 .dex 文件】 ,和右边的【脱壳软件脱出来的.dex 文件】 ,假如右边有跟左边差不多或者一样 文件大小 的则 把右边脱出来的 .dex 删除即可
那什么叫 差不多或者一样的呢 ,下面可以看到:左边有个 18.89K大小的 .dex文件,然后右边脱出来的也有 个 18.89K大小的 .dex文件【这个就删除掉】,或者差个零点零几
因为假如是拿右边的覆盖左边的,貌似也可以,但是可能不是完全修复啥的{:6_207:}





5.使用MT管理器【没有就用NP管理器 超强2.0 或 超强1.0 修复,修复的时候选原包精简包都阔以,不可以用3.0的 ,别问,问就是打开闪退!{:6_214:}】,
全选脱出来的文件,选择修复,如下:






6.然后把 后缀为.bak 的文件【就是未修复的原 .dex】删除掉:





7.最后一步就是,全选剩下的四个文件,长按一个文件弹出提示框选重命名,给它们重命名,然后脱壳到这一步就算是完成了,也为下面的修复做好准备工作了,如下:









0x4 分析【修复】
1.脱壳固然重要,但是能修复才是最有看头滴,前面也说了:能脱不能修脱出来也没用的【好比摩托坏了全拆了但是不会修一个道理啦{:6_215:}】,继续往下:

打开加固包,选 【查看】,然后选第一个【有时候不止一个 .dex】 classes.dex 文件,使用 Dex编辑器++打开








2.梆梆加固找入口的步骤:com.SecShellSecShell -> H【点进去】,看到个classname,有app、Application字样的就是入口名了,
然后选中复制它【留下一步用】,然后返回退出到上面刚开始的界面:







3.复制好真正入口后,返回到开始的界面,然后打开 .xml 文件,进到里面去修改【没有MT会员用NP】,
然后往下滑【也可以直接搜索 com.SecShell.SecShell.AW】就可看到 com.SecShell.SecShell.AW 要修改的就是这里【33行处】,如下:








4.下面还有一个修改的地方,也是同页面,让它为空即可【37行处】,两处都修改好后,选【保存】即可,
记住:不要选自动签名!!不要选自动签名!!然后保存再退出,如下:








5.这步就是把前面脱出来的 .dex 文件替换加到加固包里,以及删除残留没用的文件【部分文件名受加固版本影响略有不同】,
基本就是删除 如下文件:


assets/meta-data
assets/classes0.jar
lib/libSecShell.so
lib/libSecShell-x86.so


添加修复文件:






删除残留文件:



补一张图 :删除完且添加了修复文件后{:5_185:}

6.删完了就到最最最后一步了 -> 去除签名校验, 都删除完回返回未查看前的界面,点击软件包,可以看到软件包显示已经是 未加固 ,如下:






8.去除签名校验 -> 步骤:点击软件包->功能->选去除签名校验 【NP的话 选 超强1.0 或 超强2.0去除,3.0不要选,别问!问就是闪退!{:6_214:}】,如下:


MT管理器去除签名校验:






NP管理器去除签名校验:






然后把原来安装的卸载掉,重新安装去除签名校验好的软件包,可以看到正常打开了,脱壳+修复 成功!







总结:梆梆加固跟腾讯御安全加固,两个差不多,【以这例子来说】,都是脱壳找入口改入口啥的,难度适中吧,哈哈哈,有手就行{:6_214:},
反正都不难的,当然了,还是得多练吧,看完有感觉没有?{:6_197:}感兴趣的赶快去操作一番吧{:6_209:}















JoHCmIh6457 发表于 2022-2-28 15:40

感谢楼主

CQPyO618 发表于 2022-2-28 15:40

膜拜大神!

yDIld285 发表于 2022-2-28 17:46

谢谢分享

uYE05 发表于 2022-2-28 17:47

感谢楼主

oIUCxRZ85960 发表于 2022-2-28 17:48

楼主的帖子不错,多发点~

KhnfGoBV 发表于 2022-2-28 17:49

谢谢分享

bsrBw 发表于 2022-2-28 17:55

感谢楼主

ByEij534 发表于 2022-2-28 18:13

谢谢分享

tkmOD6 发表于 2022-2-28 18:14

谢谢分享
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 新手安卓逆向【8】-梆梆加固-【脱壳+修复】