标签归档:360

360加固保ELF脱壳总结

Intro

360加固保可以针对ELF和DEX进行保护,360某些产品的ELF文件基本都使用了自家产品进行加壳,而这些正是我们感兴趣的东西。由于文件比较多,为了能够快速的拿到Payload,最近稍微总结了一些较为通用的方法。

大体流程

壳整个流程的目的是解密核心ELF文件到内存中,关键解密的地方有3处,均使用RC4。 More

某版本360加固保动态调试&DEX静态脱壳

Intro

360加固保是360针对Android app推出的加固服务。本文针对其DEX加密技术进行分析。

动态调试

动态调试过程略过。

文件结构&静态脱壳

这个版本的加固保中,加密后的DEX文件被附在了壳DEX的文件尾部,如图所示:
qihoo_dex_unpack
感谢QQ6.4提供的马赛克功能。
这块数据有个明显的文件头标志:

之后的关键数据从偏移0x10C开始到文件尾部的数据,由长度为0x10的key和压缩、加密的DEX组成。在加壳的时候,加固保没有对原始的DEX做结构上的变形和处理,处理的流程如下: More