标签归档:静态脱壳

某版本360加固保动态调试&DEX静态脱壳

Intro

360加固保是360针对Android app推出的加固服务。本文针对其DEX加密技术进行分析。

动态调试

动态调试过程略过。

文件结构&静态脱壳

这个版本的加固保中,加密后的DEX文件被附在了壳DEX的文件尾部,如图所示:
qihoo_dex_unpack
感谢QQ6.4提供的马赛克功能。
这块数据有个明显的文件头标志:

之后的关键数据从偏移0x10C开始到文件尾部的数据,由长度为0x10的key和压缩、加密的DEX组成。在加壳的时候,加固保没有对原始的DEX做结构上的变形和处理,处理的流程如下: More