一、前言

今天是端午节，然而小编不能吃粽子了，只能继续破解之路，今天我们来看一下在了解了破解三部曲之后，如何开始脱掉各个市场中的apk壳，关于破解三部曲在之前已经介绍了：

在看完这三篇文章之后，我们开始操作如何破解市场中的加壳方案，现在市场中比较流行的加壳平台就那么几个：爱加密，梆梆加固，360加固，腾讯加固等，所以后面会一一介绍如何脱掉这些平台的壳。之前也说过现在加固的方案大体思路都是：把源apk进行加密拆分处理，然后在套一个外部的壳Application做一些初始化操作：比如解密apk，动态加载运行即可。但是我们已经知道了如何去破解那些加固的apk了，就是使用IDA给dvmDexFileOpenPartial函数下断点，然后dump出内存中的dex数据即可。因为内存中的dex肯定是解密之后的，所以大体思路知道了，但是这些加固平台也有对策，他们会把做一些反调试操作，对so文件进行混淆加密等，让我们的调试变得比较困难。这才是我们脱壳的阻碍地方。

二、案例分析

好了，说了这么多，下面我们就开始脱壳第一站：爱加密家的壳

为了脱掉他家的壳，我们得首先有一个案例程序，这个比较简单，我们自己弄一个demo程序，然后去他家的网站上加固一下，得到加固之后的apk，然后这时候我们开始破解了，按照惯例：

第一步：解压apk，看看大体的目录，得到classes.dex文件，然后用dex2jar+jd-gui得到Java源码

看到，这里只有Application的壳，而且这个是爱加密加固之后的特点，都是这两个Application的。

第二步：使用apktool来反编译apk，获取资源文件信息

分析一下爱加密的加密流程

也是国际惯例，爱加密把我们的源程序进行加密操作然后隐藏到了一个地方，在之前破解加固apk的那篇文章中也说过了，隐藏的地方就那么几个：assets目录、libs目录、自己的dex文件中

这里我们直接看assets目录：

多了这个东东，猜想这个可能就是处理之后的源apk了。我们在AndroidManifest.xml中看到了入口的Application类，先来看这个类

下面我们来分析一下这个SuperApplication类：

这里一般都是在attachBaseContext这个方法中进行操作的，这里的时机比较早，我们看到首先会调用loadLibs方法进行加载libs：

这里区分不同的平台，然后进行拷贝不同的so文件，继续看copyLib方法：

这里我们可以看到了，从assets目录下把爱加密增加的两个so文件：libexec.so和libexecmain.so拷贝到应用程序的files目录下，我们可以去看看assets/ijm_lib目录下的so文件：

到这里loadLibs方法就执行完了，下面就开始调用NativeApplication的load方法进行加载数据，继续看NativeApplication类：

这里会开始从应用程序的files目录中加载这两个so文件，而且load方法也是一个native方法，我们继续看看这两个so文件内容：

我们首先用IDA打开libexecmain.so文件，但是发现，他里面并没有什么重要信息，连JNI_OnLoad函数都没有东东

我们继续在查看libexec.so文件：

擦，可惜的是，打开提示so文件格式错误，到这里，我们就猜到了，这个so可能被加密处理了，elf格式改了，关于so如何进行加密操作的，不了解的同学可以看这里：Android中如何对so文件进行加密那么这里我们点击Yes继续强制打开之后，在使用Ctrl+S查看so的各个段信息：

现在可以百分百的确定，这个so文件被处理了，段格式被修改了。我们没办法分析so文件了，当然这里我们可以在dump出内存中的so文件，然后在分析的，但是这个不是今天讲解的重点。我们先分析到这里，也知道了爱加密的大体加密流程。

好了，到这里，我们差不多分析完了爱加密的加密流程了：

1、按照国际惯例把源apk进行加密处理存放在一个地方，通过分析猜想是assets目录下的ijiami.dat文件

2、添加壳Application：SuperApplication类，在这个壳的attachContext方法中，主要做了两件事：

1》第一件事是把assets/ijm_lib目录下的两个so文件copy到程序的files目录中；

2》第二件事是调用NativeApplication的load方法，在这个类中同时也把上面的两个so文件加载到内存中

3、对apk的加密操作都是放在底层的两个so文件中操作的，我们通过IDA去分析这两个so文件之后，发现核心功能的so文件被加密了，IDA打开是看不到具体信息了

到这里，我们知道爱加密加固之后的特点是：在程序的assets目录下多了一个ijiami.dat文件和两个so文件，同时这两个so文件被加密处理了，增加破解难度。

三、破解脱壳

上面就简单分析了爱加密的原理和流程，但是我们没有继续往下面分析了，因为这个不是我们今天讲解的重点，我们今天的重点是如何脱掉爱加密的壳，那么还是开始说到的，脱壳的核心就一个：给dvmDexFileOpenPartial函数下断点，dump出内存的dex文件即可，那么下面我们就是用IDA开始脱壳操作了：

第一步：启动设备中的android_server，然后进行端口转发

adb forward tcp:23946 tcp:23946

第二步：用debug模式启动程序

adb shell am start -D -n com.droider.crackme0201/.MainActivity

这里的包名和入口Activity都可以在上面反编译之后的AndroidManifest.xml中找到

第三步：双开IDA，一个用于静态分析libdvm.so，一个用于动态调试

记录dvmDexFileOpenPartial函数的相对地址：4777C

再次打开一个IDA，进行attach调试进程

第四步：使用jdb命令attach上调试器

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

第五步：对dvmDexFileOpenPartial函数下断点

进入调试页面之后，Ctrl+S查找libdvm.so的内存基地址：415BB000

在第三步得到相对地址：4777C+415BB000=4160277C 得到了dvmDexFileOpenPartial在内存中的绝对地址

注意：

当然这里还有一个更方便的办法：

就是直接打开Modules View：

在这里查找libdvm.so文件：

然后双击libdvm.so文件：

查找需要下断点的函数名称，看到这里的绝地地址也是：4160277C

这里有两种方式可以得到一个函数在内存中的绝对地址。

然后我们使用G键，直接跳转到函数处，下断点：

第六步：设置Debugger Options选项

能够让程序断在dvmDexFileOpenPartial函数处

注意：

上面的第四步，第五步，第六步，没有顺序的，只要在运行之前设置到就可以了。

第七步：运行程序

出现这个对话框，不要在意，一路点击Cancel即可

jdb也attach上了调试程序：

我们一路点击运行按钮，知道运行到dvmDexFileOpenPartial处的断点，但是可惜的是，这里我们遇到了错误：

我们点击OK之后，出现了下面对话框：

再次点击任何一个按钮，都会退出了调试页面：

我们在重新尝试一次上面的流程，开始调试，但是错误是一样的，好了，到这里我们就立马想到了，之前说的IDA调试so的那篇文章遇到的那个问题：反调试检测

当时我们也是遇到这个情况，在没有运行到我们下的断点处，就退出了调试页面，其实这个是现在加固平台必要选择的一种方式，其实反调试原理很简单，就是在程序运行最早的时机比如so加载的时候即：JNI_OnLoad方法中，读取本进程的status文件，查看TracerPid字段是否为0，如果不为0，那么就表示自己的进程被别人跟踪了，也就是attach了，那么这时候立马退出程序，下面我们使用IDA在attach进程成功之后，查看本进程的status信息：

看到这里的TracerPid为11340，不为0，表示被11340进程attach了，那么我们可以查看一下这个进程是谁：

其实这个进程就是我们在设备中安插的android_server，它用于和IDA进行通信。

好了到这里，我们可以看到爱加密做了反调试检测，但是按照之前的那篇文章中，我们可以给JNI_OnLoad函数下断点，然后找到检测代码，把对应的arm指令改成空指令，检测失效了，但是这里我们知道爱加密的两个so文件被处理了，IDA没法分析了，那么这里我们该怎么办呢？如何应对反调试呢？其实我们可以借助IDA可以修改寄存器和内存数据的特性来做到？

首先我们上面分析了反调试的原理，一般在native代码去做检测的话，都是用fopen系统函数打开status文件，然后用fgets函数读取一行的内容，这个是国际惯例的，操作文件都是用的fopen函数的

好了，那么这里思路就有了：既然反调试肯定用到了fopen和fgets这两个函数，那么我们直接像给dvmDexFileOpenPartial下断点的方式一样，给这两个函数下断点，然后运行到fgets断点处的时候，发现如果是读取TracerPid这行内容的时候，就开始修改内存内容，把TracerPid字段的值改成0，或者修改R0寄存器的内容，跳过反调试检测

这两个函数是在libc.so文件中的，我们可以把设备的/system/lib/libc.so使用adb pull到本地即可，然后用IDA得到他的相对地址，在调试页面得到基地址，然后相加得到绝对地址，跳转即可，但是这里不用这种复杂的方式，有两种方式可以进行跳转：

第一种方式：在Modules界面，找到libc.so，然后在找到这两个函数，就可以得到他们的绝对地址了

然后使用G键，跳转下断点即可：

第二种方式：也是最简单的方式，就是G键，本身就有可以直接输入函数名进行跳转的功能

下断点：

看到了吧，这种方式是不是非常简单高效

好了到这里就给这两个函数下好了断点，当然这里还需要给dvmDexFileOpenPartial函数下断点，一切弄好了之后，这时候我们再次运行：

停在了fopen断点处，我们使用F8单步调试，看到R7寄存器中的内容是/proc/…，我们直接点击R7查看全部内容：

内容有点长，大致的内容是：/proc/self/cmdline.debug.atrace.app_cmdlines，这个是干什么的？

我们看看这个目录内容：

发现没有这个文件内容，只有cmdline文件，但是这里先不管他了，我们知道这个肯定不是读取status文件的，那我们直接略过这个断点，点击F9运行到下一个断点，中间过程先忽略，一路F9，直到运行到了fopen这个断点：

果然，这里使用了fopen来读取status文件了，点击R7寄存器查看全部内容：

这个16396就是我们本进程的id：

到这里，我们知道下一个断点肯定是fgets，所以点击F9进入到fgets断点处：

这里还看不到什么信息，我们继续点击F8单步调试：

途中，会看到有memchr和memcpy这两个重要函数，这个也是操作字符串的核心点，继续往下走：

到了fgets函数结束的地方，我们看到了R0寄存器的内容是Name…点击R0查看全部内容：

全部内容是：Name: der.crackme0201；这个就是status文件的第一行内容：

到这里，我们知道了，开始读取status文件的每行内容了，但是到TracerPid那行还要继续执行5次fgets函数，所以还会进入5次断点，为了节省时间，这里点击5次F9，直接运行到读取TracerPid那行的内容的fgets断点处：

看到了关键的内容了TracerPid字段了，这时候，我们打开Hex View 查看16进制的内存数据：

但是我们看到，这个并没有和调试页面View位置相对应，我们可以这么操作：

在寄存器窗口查看到R0寄存器的内容：

这里就是TracerPid字段在内存的地址，记录一下，然后在Hex View页面中使用G键，进行跳转，这里一定要注意是在HexView，而不是调试页面，调试页面使用G键跳转到的是指令地址了。

好了，这里我们看到了TracerPid的内存内容了，这里我们就开始修改吧，选择我们要修改的内容：是11340那里：

选择内容开始处，右击，选择Edit，进入修改状态：

改了之后的内容是橘黄色的，修改完成之后，在点击右键，选择Apply changes：

完成修改，颜色变成灰土色了：

注意：

这里其实还可以直接修改寄存器R0的值：

这时候就表示修改成了，我们继续使用F8单步调试下去：

这里就开始把TracerPid字段的值和0作比较了，我们点击R0寄存器查看全部内容：

这里的值已经被改成了0，所以这里就骗过去了。继续运行，我们会发现，又进入了fopen函数的断点处，而且查看还是读取status文件，这个也不好奇，因为是反调试检测肯定是一个轮训机制的，所以肯定会反复的读取的这个文件，fopen走多次也是正常的，但是这个反调试肯定是在子线程的，所以只要到了主线程中解密dex文件就肯定到了dvmDexFileOpenPartial，所以这里会多次重复上面的操作，修改多次TracerPid的值，这里就不在演示了，我在操作的过程中修改了三次，当没有在走fopen函数的时候，遇到了这个错误，这里不关心，直接点击ok就可以了。

再次点击运行：

这里说明已经改开始解密dex文件了，应该离成功不远了，继续运行：

终于到了我们想要的地方了，到这里就好办了，直接点击Shirt+F2，打开脚本运行窗口，运行下面脚本：

static main(void)
{
auto fp, dex_addr, end_addr;
fp = fopen(“F:\\dump.dex”, “wb”);
end_addr = r0 + r1;
for ( dex_addr = r0; dex_addr < end_addr; dex_addr ++ )
fputc(Byte(dex_addr), fp);
}

把内存中的dex保存到F:\dump.dex中，这里不再解释了，之前的一篇文章已经介绍过了，这里R0寄存器就是dex在内存中的起始地址，R1寄存器就是dex文件的大小：

我们使用G键，可以在HexView页面中查看R0寄存器中的地址内容：

看到了吧，这里就是dex的头文件格式。

四、还原应用apk

我们得到了内存中的dex数据之后，可以使用baksmali工具转化成smali源码，查看代码逻辑即可，这里不再演示了。

然后最后还有一步：还原apk

首先我们修改反编译之后的AndroidManifest.xml中：

把这段内容删除，如果有自己的Application的话，就改成自己的Application即可，同时删除assets目录下面的文件。

然后使用apktool进行回编译，这时候，先不要着急签名apk，而是替换classes.dex：

我们把上面得到的dump.dex改成classes.dex然后直接用压缩软件，替换未签名的apk中的dex文件即可

最后在进行签名操作，完成还原apk工作。

五、总结爱加密的破解流程

好了到这里，我们算是脱壳成功了，下面来总结一下吧：

目标：

在脱壳的过程中，我们就一个目标：dump处内存中的dex文件

但是在上面分析了爱加密的加固流程之后，发现他做了这些事：

1、把源程序apk加密处理放到了assets目录下的ijiami.dat，也同时在assets\ijm_lib目录下添加两个so文件：libexec.so和libexecmain.so，这里两个so文件用来处理整个apk解密，动态加载等逻辑，但是我们用IDA查看得知，这两个so文件被加密处理了

2、添加自己的壳Application：SuperApplication类，这个类中的attachContext方法中，首先把assets目录中的两个so文件copy到应用的files目录下，然后在使用System.load方法，加载这个files目录中的两个so文件

3、我们在给dvmDexFileOpenPartial下断点，进行调试的时候，发现有反调试检测，因为无法给JNI_OnLoad下断点来去除反调试功能的arm指令，所以只能去修改内存数据，把TracerPid的值变成0，骗过检测了。这里我们的思路就是给fopen和fgets这两个函数下断点，因为我们知道反调试的原理就是读取本进程的status文件，然后获取TracerPid那行内容即可，所以这里肯定用到了fopen和fgets函数，在使用fgets这个函数的时候，会读取每行内容，那么我们只要发现在读取到TracerPid那行内容的时候，去修改内存值，把TracerPid字段的值改成0即可。

4、有了上面的反调试思路之后，我们就开始进行操作了，但是在操作的过程中发现多次执行了fopen和fgets函数，而且我们需要修改多次TracerPid的值，原因很简单，因为是反调试检测，肯定是在子线程中轮训去检测这个值，所以会执行多次很正常，所以我们要修改多次TracerPid的值，骗过检测，直到当在主线程中，代码运行到了解密dex文件的时候，即到了dvmDexFileOpenPartial函数处的断点处为止

5、最后修改多次TracerPid值，骗过检测，到了dvmDexFileOpenPartial这里，这时候，在执行dump脚本，把内存中的dex数据dump到本地即可。

通过上面的调试和破解流程其实不难发现，爱加密的流程是这样的：

1》fopen—/proc/self/cmdline.debug.atrace.app_cmdlines
2》fgets—-com.droider.crackme0201
3》dvmLoadNativeCode–加载libexec.so
4》dvmLoadNativeCode–加载libexecmain.so
5》建立反调试线程（通过检查是否存在调试进程）
6》调用fopen—-打开/proc/pid/status
7》调用fgets—读取调试进程pid

这里除了dvmDexFileOpenPartial函数，还有一个重要的函数dvmLoadNativeCode，它是加载和初始化so的函数，如果感兴趣的同学，可以去给这个函数下断点看看运行逻辑。

所以我们只要记住我们的目的只有一个：达到dvmDexFileOpenPartial函数处，dump处内存中的dex文件，就算是完成脱壳工作

六、总结

到这里我们就分析完了如何去脱掉爱加密的壳，其实在之前说过，现在各个加固平台的原理都差不多，最后看到的就是各家的加固算法了，所以我们在脱壳的过程中目标也很明确，就是dump出内存中的dex文件即可。不管他上层再怎么牛逼的加密拆分操作，到了内存肯定是完整的dex文件了，所以现在加固平台也是一个思想就是不让你dump出来，就是让你给dvmDexFileOpenPartial函数下断点失败，调试失败。