梆梆加固还原DEX文件

时间:2021-12-07 12:39:31

0x01

  先说总结:

  参照https://www.cnblogs.com/jiaoxiake/p/6818786.html 最后说的步骤,

  参考:https://www.52pojie.cn/thread-586058-1-1.html

  通过DexExtractor将加固后的apk还原odex,拖到jeb里面继续分析,odex-dex步骤没完成。

0x02:
  同事小哥在找分析一个apk,找里面一点逻辑,发现apk被梆梆加固了。
  正常apktool反编译无法找到清单文件里面注册的服务。

  找了下lib文件里,2个so文件,搜索发现和BANGBANG相关,顺带搜到了TUOKE的文章

  梆梆加固还原DEX文件

0x03:

  参照教程,需要使用DexExtractor,有几种方式
  1.自己编译源码,修改dexFileParser函数,刷机
  2.找个4.4机器,ROOT掉,替换libdvm.so,重启
  3.找个4.4机器,刷system.img,重启

  源码在U里面,回去编译再刷,觉得有点麻烦,要是长期使用,可以考虑。
  手里有Nexus5,刷的lineageos,再折腾一边刷机觉得没必要,毕竟就一次~~
  a.然后选择,用模拟器,AVD里面选择SDK19 ARM CPU的模拟器,下载安装

梆梆加固还原DEX文件

  获得模拟器如上

  感谢前辈提供将已经编译好的system.img

  地址在百度云:https://pan.baidu.com/s/1jG3WQMU

  

  b.修改模拟器加载system.img地址,配置文件在 :hardware-qemu.ini

  配置文件地址在: C:\Users\xxxooo\.android\avd\Nexus5XAPI19-4.4.avd

  xxx为本机用户名,Nexus5XAPI19-4.4为你创建的模拟器名字 ,

  修改hardware-qemu.ini里面 disk.systemPartition.initPath,或者直接将百度云下载好的syste.img替换过去[提前备份]

  c.重启模拟器

  将加固后的apk文件安装到模拟器

  打开logcat,

  打开adb shell ,将sdcard 目录mount一下

  打开目标app,查看log日志 过滤 目标包名

  顺利的话会看到:

  梆梆加固还原DEX文件

  看到已经生成n个dex文件,

  至于为什么是多个dex文件,这个没搞明白,不知道会不会是因为因为加固故意分割dex

  如果/sdcard/写入失败,会有log日志,

  我的操作是,重启模拟器,开机就adb shell 进去 su 然后mount sdcard 给777权限

  e.将生成后的dex文件pull到电脑,

  查看/sdcard/ 目录,只要文件名字包含目标包名的就是,全都pull出来,了,例如都放到 hack 目录

  下载git中的DexExtractor项目,使用其中的 Decode.jar 还原dex

  java -jar Decode.jar hack ,hack为从手机内pull出来的dex目录

  梆梆加固还原DEX文件

  获得解密后的xxxx.read.dex

  这次获得的为odex格式,拖到WinHex 看透文件为 dey 036

  梆梆加固还原DEX文件

  文件拖到jeb可以直接看,不过要点击 inner_dex

  梆梆加固还原DEX文件

  如果想要直接看dex,还需要使用:baksmali ,这里我就没有操作,

  有个技巧,pull出来的dex有4个,通过jeb将每个都反编译,导出为java保存在不同文件夹。

  然后,通过notpad++全局查找需要找的代码,比如某个字符串(定义在string.xml的除外)或者代码

  定位到,再用jeb打开dex,可以查看调用关系,不然,导出为java后,导入studio或者eclipes调用关系很可能无法生成

  基本操作就这些

  同事小哥如愿找到了想要的,晚上加鸡腿

  后来发现 赵四前辈的 文章更详细,

  地址: http://www.wjdiankong.cn/apk%E8%84%B1%E5%A3%B3%E5%9C%A3%E6%88%98%E4%B9%8B-%E5%A6%82%E4%BD%95%E8%84%B1%E6%8E%89%E6%A2%86%E6%A2%86%E5%8A%A0%E5%9B%BA%E7%9A%84%E4%BF%9D%E6%8A%A4%E5%A3%B3/

  仅此记录下