乐固加壳的原理分析

lucifer2046

乐固壳的大致运行流程：





具体的加固流程分析：







总结：
        总的来说乐固还停留在二代不落地方式的加固水平，主要还是通过参考在不同Android源码模式下，对一些关键的系统函数的重写，比如说对于dex字节的加载函数，Dalvik下的openDexFile和ART下的OpenFile函数进行重写，加上一些表面的替换，比如cookie值的替换获得，或者一些HOOK手段，扰乱攻击者的分析，说白了就是增加攻击者的分析成本，但是起不到本质的作用，因为Android这些系统源码毕竟是开源的，攻击者可以参考源码对其进行分析，里面总会有一些所谓的关键函数的“漏洞”，就可以内存Dump真正的函数,攻击者只要过了反调试，反Dump防线。

龙飞雪

看雪寒食二鸟分析把，哈哈