静态脱壳 | Lost and Found

360加固保是360针对Android app推出的加固服务。本文针对其DEX加密技术进行分析。

动态调试过程略过。

这个版本的加固保中，加密后的DEX文件被附在了壳DEX的文件尾部，如图所示：

感谢QQ6.4提供的马赛克功能。
这块数据有个明显的文件头标志：

const BYTE qihoo_payload_header [] = {
    0x71, 0x68, 0x00, 0x01, 0x00, 0x00, 0x00, 0x00
};

const BYTE qihoo_payload_header [] = {

0x71, 0x68, 0x00, 0x01, 0x00, 0x00, 0x00, 0x00

};

之后的关键数据从偏移0x10C开始到文件尾部的数据，由长度为0x10的key和压缩、加密的DEX组成。在加壳的时候，加固保没有对原始的DEX做结构上的变形和处理，处理的流程如下： More

Lost and Found