360脱壳分析1-内存dump的时机选择
2015-03-19 11:16
176 查看
转:http://blog.csdn.net/eewolf/article/details/44425569
eewolf原创,转载请注明
360对dex的保护是比较好的,直接去dump内存会发现activity类都是有问题的,从dex格式而言,其DexClassDef结构体是有问题的,除了ClassId的所有成员均为0。
那应该怎么脱呢,当然360对so有加壳,我们可以对其进行脱壳后进行分析;另外,当然也可以修改libdvm来进行脱壳。
但对于一名coder而言,能否从实现角度出发呢?如果我们来实现这个功能,要如何做。
我们知道,通常加壳方案中,需要替换classloader来加载系统组件类(当然也可以用替换mCookie的方法),activity当然也是一种系统组件。那么,可以大胆猜测,360的加壳方案中,在ClassLoader的loadClass函数上是动了手脚的,来达到先修正activity类,再修错的目的。
有了这个猜测后,实现就很简单了,可以hook loadClass,在这个时机点,去dump内存,就可以得到正确的dex。
当然,如果在dvm中实现,应该可以在defineClass函数中进行实现。
eewolf原创,转载请注明
eewolf原创,转载请注明
360对dex的保护是比较好的,直接去dump内存会发现activity类都是有问题的,从dex格式而言,其DexClassDef结构体是有问题的,除了ClassId的所有成员均为0。
那应该怎么脱呢,当然360对so有加壳,我们可以对其进行脱壳后进行分析;另外,当然也可以修改libdvm来进行脱壳。
但对于一名coder而言,能否从实现角度出发呢?如果我们来实现这个功能,要如何做。
我们知道,通常加壳方案中,需要替换classloader来加载系统组件类(当然也可以用替换mCookie的方法),activity当然也是一种系统组件。那么,可以大胆猜测,360的加壳方案中,在ClassLoader的loadClass函数上是动了手脚的,来达到先修正activity类,再修错的目的。
有了这个猜测后,实现就很简单了,可以hook loadClass,在这个时机点,去dump内存,就可以得到正确的dex。
当然,如果在dvm中实现,应该可以在defineClass函数中进行实现。
eewolf原创,转载请注明
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 360脱壳分析1-内存dump的时机选择
- MAT dump分析程序内存
- 【内存泄露排查】应用内存分析方案,采用jmap命令dump内存数据采样后,eclipse mat插件分析
- 如何Dump当前Java应用的内存结构,并进行分析找到占用空间最大的Class
- 使用jmap dump 分析JVM内存状态
- headdump 内存分析。
- Memory Analyzer (MAT) - Java内存Dump分析工具
- jstack和dump内存分析
- Android内存分析工具-dumpsys meminfo
- Quectel招聘要求会 dump 内存分析,什么东东?
- 如何分析jvm dump 内存日志
- 怎样分析crash dump(内存错误)
- 怎样分析crash dump(内存错误)
- 使用AndroidStudio dump heap,再用 Eclipse MAT插件分析内存泄露
- Android使用procrank和dumpsysmeminfo分析内存占用情况
- EAS服务器内存溢出、宕机解决方案-Heapdump与JavaCore分析
- 一次因内存覆盖引起的system dump问题分析,基于linux的crash工具。
- 使用AndroidStudio dump heap,再用 Eclipse MAT插件分析内存泄露
- 使用redis-rdb-tools解析reids dump.rdb文件及分析内存使用量
- dump 内存分析命令