乐固加壳的原理分析
本帖最后由 lucifer2046 于 2017-9-29 17:33 编辑乐固壳的大致运行流程:
http://img.blog.csdn.net/20170722145518821?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZmVpYmFiZWliZWlfYmVpYmVp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
具体的加固流程分析:
http://img.blog.csdn.net/20170722145612917?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZmVpYmFiZWliZWlfYmVpYmVp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
总结:
总的来说乐固还停留在二代不落地方式的加固水平,主要还是通过参考在不同Android源码模式下,对一些关键的系统函数的重写,比如说对于dex字节的加载函数,Dalvik下的openDexFile和ART下的OpenFile函数进行重写,加上一些表面的替换,比如cookie值的替换获得,或者一些HOOK手段,扰乱攻击者的分析,说白了就是增加攻击者的分析成本,但是起不到本质的作用,因为Android这些系统源码毕竟是开源的,攻击者可以参考源码对其进行分析,里面总会有一些所谓的关键函数的“漏洞”,就可以内存Dump真正的函数,攻击者只要过了反调试,反Dump防线。 看雪寒食二鸟分析把,哈哈
页:
[1]