2. 程式人生 > >針對記憶體中完整的dex檔案的ida除錯脫殼思路

針對記憶體中完整的dex檔案的ida除錯脫殼思路

阿新 發佈:2018-12-06

使用IDA從記憶體中dump指定的dex

雖然自己編譯了一套能夠簡單夠脫殼的壞境,不過使用上總感覺比較重量級。

今天只想把APK中某個動態解密,載入的dex搞出來,用IDA輕快很多。

步驟1:

首先通過cat /proc/pid/maps檢視目標dex檔案所在的記憶體地址:

可以看到我們的起始地址是:5faa2000

                            結束地址是:5fb36000

後面的deleted表示dex檔案加入記憶體中,就被刪除了。

步驟2:

IDA除錯上目標程序上,然後執行如下指令碼,把這個記憶體區間的內容全部dump出來(沒加固時,dex的記憶體預設是連續的):

  auto fp, begin, end, dexbyte;
  fp = fopen("D:\\dump.dex", "wb");
  begin = 0x5faa2000;
  end = 0x5fb36000;
  for ( dexbyte = begin; dexbyte < end; dexbyte ++ )
      fputc(Byte(dexbyte), fp);


dump出來得到是一個odex檔案,通過下面的命令可以轉成對應的smali檔案:

java -jar baksmali.jar -x dump.odex -d .

 

相關推薦

針對記憶體完整dex檔案ida除錯思路

使用IDA從記憶體中dump指定的dex 雖然自己編譯了一套能夠簡單夠脫殼的壞境,不過使用上總感覺比較重量級。 今天只想把APK中某個動態解密,載入的dex搞出來,用IDA輕快很多。 步驟1: 首先通過cat /proc/pid/maps檢視目標dex檔案所在的記憶體地址: 可以

Android dex檔案通用自動

標 題: 【原創】Android dex檔案通用自動脫殼器作 者: zyqqyz時 間: 2015-09-01,13:03:30鏈 接: http://bbs.pediy.com/showthread.php?t=203776之前做了一個Android dex的通用脫殼器

解決應用Dex檔案方法數超過了最大值65536的上限

在android studio的依賴裡面加 compile 'com.android.support:multidex:1.0.1' 再加入,用來增加java堆記憶體大小: dexOptions{ javaMaxHeapSize "4g" } 還要允許分割方法

解決Android單個dex檔案方法數越界的問題

通常一個Android應用中單個dex檔案所能包含的最大方法數為65536個,這包含FrameWork、依賴的第三方jar包以及應用本身程式碼中的所有方法。 一般來說一個簡單的應用裡面的方法很難達到65536這個值,但是對於一些比較大型的專案來說,65536也是比較容易達

java讀取記憶體的csv檔案,跳過第一行

package ApacheCommonCSV; import junit.framework.TestCase; import org.apache.commons.csv.CSVFormat; im

IDA pro實戰過反除錯

IDA pro脫殼實戰過反除錯 標籤(空格分隔): Apk逆向 1. 前言 之前總結了IDA pro脫殼的基本步驟,包括除錯步驟和在libdvm.so的dvmDexFileOpenPartial函數出下斷點,從記憶體中dump出dex檔案。  這次以360一代加殼為例,試著在m

分享一個CQRS/ES架構基於寫檔案的EventStore的設計思路

什麼是EventStore 關於什麼是EventStore,如果還不清楚的朋友可以去了解下CQRS/Event Sourcing這種架構,我部落格中也有大量介紹。EventStore是在Event Sourcing(下面簡稱ES)模式中,用於儲存事件用的。從DDD的角度來說

IDA分析後丟失導入表的PE

alt getc port 資源 rec mut earch 斷點 由於 1. 問題 一些程序經過脫殼後(如用OD的dump插件),一些導入表信息丟失了,導致拖入IDA後看不到API的信息(如右圖所示,第一個紅圈處實際是GetCurrentProcessId),給分析造

IDA附加除錯apk程式,並修改記憶體,編寫IDA指令碼程式,把修改後的dex檔案dump到本地

我的測試環境:模擬器 Android 4.2 armeavi-v7a   1.IDA附加除錯apk程式 找到IDA所在目錄,在dbgsrv資料夾下找到程式android_server 在這裡按住“Shift +滑鼠右鍵”,開啟控制檯 把程式android_server

c語言 將記憶體資料以二進位制形式寫入檔案 檔案的資料表現形式

最近有在寫關於將記憶體中的資料寫入檔案的程式,當程式執行後,卻發現檔案中的位元組資料有些難以理解。思考後發現了其中的道理。 程式碼如下: #include<stdio.h> #include<stdlib.h> struct BlockInfo { bool is

C++如何讀取txt檔案的資料並且以二位陣列存到記憶體

本次實驗主要的目的就是讀取txt的資料,在上次博文中說到如何讀取txt的資料,那篇博文讀了一行資料並存在了一個一維向量中,本次實現讀取二維向量。直接上程式碼: 解釋一下:程式碼中的40代表有40行,8064代表有8064列。 #include <iostream> #includ

PE檔案記憶體的地址對映關係

PE檔案與(虛擬)記憶體中的地址對映 檔案偏移地址 PE檔案中的資料的地址,就是在檔案內部的地址,也可以理解成在檔案系統中相對於檔案頭的偏移地址。在PE檔案內部,資料是按資料節存放的,但每一個數據節都是0x200位元組的倍數,不足的用0x00補齊。 裝載地址(Im

Matlab和C++混合程式設計——在matlab除錯過程可以跳入VS除錯觀察.cpp檔案的資料

1.在matlab中為.cpp使用mex編譯生成.mexw64(64位)檔案 在matlab中封裝編譯函式: compile_gc(debug_flag) compile_gc(debug_flag=1):生成兩種檔案,(.mexw64和.mexw64.pdb) compi

Android的ClassLoader與dex檔案加密實現分析

Android中的ClassLoader BaseDexClassLoader Dex類載入器的基類,包含Dex類載入器之間通用功能的實現。 DexClassLoader A class loader that loads classes from .jar

Androiddex檔案的載入與優化流程

目錄 1、dex檔案分析 邏輯上,可以把dex檔案分成3個區,標頭檔案、索引區和資料區。索引區的ids字尾為identifiers的縮寫。 header dex檔案裡的header。除了描述.dex檔案的檔案資訊外,還有檔案裡其他各個區域的索引。 (

Android系統的.apk檔案dex檔案

Dex是Dalvik VM executes的全稱,即Android Dalvik執行程式,並非Java ME的位元組碼而是Dalvik位元組碼。Google 在新發布的Android 平臺上使用了自己的Dalvik 虛擬機器來定義,這種虛擬機器執行的並非Java 位元組碼,而是另一種位元組碼:dex 格式

Mac分析hprof檔案查詢記憶體洩露

安裝eclipse 下載 訪問如下路徑[Eclipse官網](http://www.eclipse.org/downloads/)選擇相應版本,點選下載。 安裝 雙擊解壓即可 Eclipse啟動引數設定 由於hprof檔案比較大(1.

MyEclipse6.5的記憶體管理(ini檔案的引數設定)

優化MyEclipse的速度,要明白其中的道理:myeclipse.ini檔案中引數-Xms,-Xmx,-PerSize的值時,這幾個引數具體是指什麼? 這涉及到JVM的記憶體管理機制。 1.堆(Heap)和非堆(Non-heap)記憶體 按照官方的說法:“Java 虛擬機器具有一個堆,堆是執行時資料區域,

iOS info.plist檔案完整研究

我們建立一個工程後,會在Supporting files下面看到一個"工程名-Info.plist"的檔案,這個是對工程做一些執行期配置的檔案,很重要,不能刪除。 如果你在網上下載的工程中的這個檔名只是Info.plist,那麼恭喜你,這個工程太老了,是用包含SDK2.

windows(8) 下在GVIM使用gcc/g++編譯除錯c/cpp檔案

1. 首先下載安裝MinGW,下載地址: http://sourceforge.net/projects/mingw/。這個是邊下載邊安裝的,下載完成即安裝完成。我的安裝目錄為D:\MinGW; 2. 設定系統環境變數。右擊Computer -> Properties