脱壳后的碎片化困境
当前Android逆向工程中,面对第三代及以上加固方案(如360、腾讯、娜迦等),常规的Dex2Jar或直接静态分析往往失效。主流脱壳手段转向运行时内存Dump——在应用启动后从dalvik heap或oat区域提取已解析的dex数据。然而,内存Dump得到的dex文件通常存在header校验失败、data section不完整、string pool偏移错误等问题。原因在于运行时虚拟机对dex进行了部分优化(如压缩、打平、重排),且脱壳时机(类加载前后)直接影响dump的数据完整性。
Dex完整性监测的核心指标
一个可被标准逆向工具(jadx、GDA、JEB)无障碍解析的dex文件,必须满足三项基本约束:
- Header段校验:magic字段必须为’dexn035’或’dexn038’,checksum与file_size一致,且string_ids_off、type_ids_off等偏移不能超出文件范围。
- Map list结构:off_map_list指向的section必须包含所有关键数据区(string_ids, type_ids, proto_ids, field_ids, method_ids, class_defs等),且size与实际数量匹配。
- Data section连续性:class_data、code_item、annotation_off等必须位于真实存在的偏移上,且没有跨区域截断。
实践中,内存Dump的dex往往破坏第2、3项。例如,某些加固会删除map_list以混淆工具,或压缩code_item并替换为自定义stub,导致解析时触发EOFException。
修复工程化的标准步骤
针对内存Dump的dex碎片,我们总结出一套可复现的修复流程:
1. 数据嗅探与边界确定
使用二进制扫描工具(如010 Editor配合dex.bt模板)定位dex的实际起始位置和结束位置。内存中可能混入前后无意义字节,需根据magic字段和可能的padding截取纯净段。对于多dex,需识别attach标识。
2. Map List重构
当原始map_list被移除或损坏时,需要根据dex文件中现有的offset和size信息重建map_list section。核心算法为:遍历string_ids、type_ids、proto_ids、field_ids、method_ids、class_defs的线性表,计算每个表的实际区域,然后生成新的map_item数组。注意string_data_off需要额外扫描整个数据区,因为字符串内容长度可变且无统一索引。
3. Code Item修复与Oat2Dex回退
对于被优化为oat格式的dex(在Android 5.0+设备上常见),内存中以OatDexFile形式存在。此时需使用OatDex解析库(如Dobby或自定义oat解析器)提取原始dex。关键步骤:从oat data区的offset列表中定位dex_file_header,然后通过dextra数据恢复完整的dex内容。若只拿到部分数据,可以尝试使用Mixed-mode dex技术——将完整的class_def结构与不完全的code_item区域拼接,用NOP填充残缺方法体,再通过静态修复工具(如ReDex或自定义脚本)自动补全。
4. 自动校验与批量修复
构建Python脚本调用dexlib2库或Android SDK的dx/baksmali先验证dex完整性,再针对已知模式(如字符串表偏移异常)进行自动修复。建议使用多轮迭代:第一轮按标准map重建,第二轮尝试滑动窗口匹配剩余数据。
工程化落地的注意事项
在真实项目(如离线脱壳平台)中,需考虑以下几点:第一,不同Android版本的系统类加载器行为差异(ART vs Dalvik),决定了dump数据的结构差异。第二,加固厂商的定制化修改(如替换verify函数)会导致特定校验失效,需要单独维护黑名单规则。第三,批量自动化修复的成功率约在70%-85%,失败案例往往涉及重打包后的签名校验或反调试残留,此时需人工介入调整修复参数。
修复完成后的dex应通过类依赖图完整性检查:使用JEB的API扫描所有class_def中引用的外部类是否均在dex内或已提供classpath。若存在缺失,需从其他dump文件中合并或采用可疑类自动补完策略。
请登录后查看评论内容