最近对接某应用, 他们集成我司sdk后出了点问题, 打算看看他们代码, 发现咋jadx中找不到包名目录;
jadx目录
可以看到有个 wrapper 包名 com.secneo.apkwrapper 包名, 查了下, 是梆梆加固的(我自己用免费的梆梆加密apk,倒是没有个包,而是多了 com.secshell.secData 包):
之前用爱加密/腾讯乐固等加固软件, 都会隐藏app所有代码, 没想到梆梆只隐藏了app本身的代码,而对其依赖的第三方库的代码则保持不变, 一开始看到这个目录结构时,还以为是没有做加固,因此想找找看可不可以尝试脱壳,因为以前没玩过,所以在此记录下;
P.S. 忙活到最后,发现想脱壳的apk在虚拟机中运行不起来,郁闷的啊😓, 不过倒也不是没有收获就是了;
工具
搜索了一圈,发现有个开源项目 DexExtractor 直接支持梆梆脱壳;
这个项目最早是在 看雪论坛 上发布的;
DexExtractor 的使用
1. 将 github 项目 clone下来
后续会用到里面的 Decode.jar;
2. 到作者网盘上下载 system.img 并解压
这个文件是用于 android 4.4 api 19 虚拟机的, 所以需要在 <androidSDKHome>/system-images 中有 android-19 目录,
若无
<androidSDKHome>/system-images/android-19,则可通过 android studio的创建虚拟机功能,一步步选择System-image --> Other Images --> Kitkat 19 armeab-v7a Android 4.4(非 Google APIs)
AVD
下载完后创建一台基于此image的虚拟机;
3. 拷贝刚才下载的 system.img 到 <androidSDKHome>/system-images/android-19/default/armeabi-v7a/ 中
可以备份下原始的 system.img
4. 启动刚才创建的虚拟机(api 19);
5. 将需要脱壳的apk拖入虚拟机安装运行;
注意: 要求apk带有读写存储卡的权限,若无,请自行反编译apk添加后重新编译签名后再安装运行;
6. 打开 as logcat 会看到如下日志:
其中 create file /sdcard/<your_package_name>_classes_***.dex 就是作者把内存中运行的dex经过 base64 加密后写到存储卡上的,可能有多个;
将这些文件都拷贝出来,方法:
adb pull /sdcard/<your_package_name>_classes_***.dex- 利用 android studio 3.0+ 的
Device File Explorer来查看/sdcard目录, 直接右键保存所需要的文件到电脑上;
最后, 将拷贝出来的dex文件统一放入一个目录中,比如 dex_dir;
7. 利用第1步下载的 Decode.jar 进行 base64 解密
java -jar Decode.jar dex_dir
运行完成后, dex_dir 目录中的每个dex都会生成一个对应的 *.read.dex ,这就是解密后的dex;
但此时的dex无法直接通过jadx工具查看,因为是odex,倒是可以通过ida打开,因此需要进行转换;
8. 下载 baksmali.jar 和 smali.jar
9. 将odex转为jar
// 将odex文件 "your_dex.read.dex" 转成samli文件,输出到 classout 目录中
java -jar baksmali-2.2.2.jar disassemble -o ./classout/ your_dex.read.dex
10. 将smali目录重新打包生成dex文件: final.dex
java -jar smali-2.2.2.jar assemble ./classout -o final.dex
11. 利用jadx直接查看 final.dex 文件即可看到源码;
参考文章
Apk脱壳圣战之—如何脱掉“梆梆加固”的保护壳
DexExtractor原理分析
常见app加固厂商脱壳方法研究
Android应用程序通用自动脱壳方法研究
Andorid APK反逆向解决方案---梆梆加固原理探寻
