frida-unpack

基于Frida的脫殼工具

0x0 frida環(huán)境搭建

frida環(huán)境搭建，參考frida官網(wǎng)：frida。

0x2 原理說明

利用frida hook libart.so中的OpenMemory方法，拿到內(nèi)存中dex的地址，計(jì)算出dex文件的大小，從內(nèi)存中將dex導(dǎo)出。
ps：查看OpenMemory的導(dǎo)出名稱，可以將手機(jī)中的libart.so通過adb pull命令導(dǎo)出到電腦，然后利用：
nm libart.so |grep OpenMemory命令來查看到出名。

0x3 腳本用法

• 在手機(jī)上啟動(dòng)frida server端
• 執(zhí)行脫殼腳本

  1	./inject.sh 要脫殼的應(yīng)用的包名 OpenMemory.js

• 脫殼后的dex保存在/data/data/應(yīng)用包名/目錄下

0x4 腳本測(cè)試環(huán)境

此腳本在以下環(huán)境測(cè)試通過

• android os: 7.1.2 32bit (64位可能要改OpenMemory的簽名)
• legu: libshella-2.8.so
• 360: libjiagu.so

0x5 參考鏈接

• frida

0x06 python腳本支持

python frida_unpack.py 應(yīng)用包名

0x07 相關(guān)技巧

• 利用c++filt命令還原C++ name managling之后的函數(shù)名

  1 2 3 4

  c++filt _ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_ ? 輸出： art::DexFile::OpenMemory(unsigned char const*, unsigned?int, std::__1::basic_string<char, std::__1::char_traits<char>, std::__1::allocator<char> > const&, unsigned?int, art::MemMap*, art::OatDexFile const*, std::__1::basic_string<char, std::__1::char_traits<char>, std::__1::allocator<char> >*)

源碼見github鏈接：https://github.com/dstmath/frida-unpack

https://bbs.pediy.com/thread-229604.htm

總結(jié)

以上是生活随笔為你收集整理的[原创]基于frida的脱壳工具的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。