加壳技术概述 在 Android 逆向工程领域，"加壳"是指对 APK 中的 DEX 文件（Dalvik Executable，Android 的可执行字节码文件）进行加密、混淆或隐藏处理的技术。加壳的目的是保护原始代码不被静态分析和反编译，从而增加逆向分析的难度。理解加壳技术的分类和工作原理，是脱壳工作的前提条件。 一个典型的加壳流程如下：开发者将原始 APK 的 D...

背景知识 Android 系统从 Dalvik 虚拟机演进到 ART（Android Runtime）虚拟机，DEX 文件的加载流程发生了显著变化。对于脱壳工作而言，理解两个运行时下的 DEX 加载全流程，是选择合适脱壳点的前提。Dalvik 运行时（Android 4.4 及之前）采用解释执行 + JIT 编译的方式，而 ART 运行时（Android 5.0 及之后）采用 AOT（Ah...

FART 框架概述 FART（First Android Unpack Tool，Android 第一款 ART 环境自动化脱壳机）是由安全研究员星痕（hanbinglengyue）开发的开源 Android 脱壳框架。FART 的出现填补了 Android 5.0（ART 运行时）环境下自动化脱壳工具的空白，在逆向工程社区中具有里程碑意义。 在 FART 之前，大多数脱壳工作依赖于手动操...

FART 脱壳后的 DEX 问题分析 FART 脱壳虽然能够自动 dump DEX 数据，但 dump 出来的结果并不总是完美的。根据目标应用使用的壳类型不同，脱壳后可能存在以下两类主要问题： DEX 文件不完整 某些壳程序（特别是新一代的加固方案）不会一次性将完整的 DEX 加载到内存中，而是按需加载——只有当某个类被实际使用时，才将其对应的 DEX 数据解密到内存。FART 在 Li...

FART 的局限性分析 FART 作为首款 ART 环境自动化脱壳工具，虽然开创了系统级自动脱壳的先河，但在实际使用中存在一些局限性： 需要刷机 FART 原版的核心实现需要修改 Android 系统源码（AOSP）并重新编译为自定义 ROM，然后刷入目标手机。这一要求带来了几个问题： 设备受限：不是所有 Android 手机都支持刷入自定义 ROM，特别是搭载高通 Bootloade...

ART 虚拟机简介 从 Android 5.0（Lollipop）开始，Dalvik 虚拟机被 ART（Android Runtime）正式取代。ART 带来了根本性的架构变革，理解这些变革是掌握 ART 脱壳技术的前提。 AOT 编译 ART 最大的特点是引入了 AOT（Ahead-Of-Time）预编译。在应用安装时，系统会将 DEX 字节码编译为本地机器码（ELF 格式），存储在 ...

前言 ClassLoader（类加载器）是 Java 虚拟机和 Android 运行时中负责加载字节码文件的核心组件。在 Android 逆向工程中，理解 ClassLoader 的工作机制是掌握加壳与脱壳技术的必要前提——几乎所有第一代、第二代壳的核心原理都围绕 ClassLoader 展开。 本文将从 Java ClassLoader 基础出发，逐步深入到 Android 体系中的 C...

Dalvik 虚拟机简介 在深入脱壳技术之前，我们需要先理解 Dalvik 虚拟机的基本架构，因为所有 Dalvik 时代的脱壳方案都建立在这些底层机制之上。 DEX 文件格式 DEX（Dalvik Executable）是 Android 应用程序的可执行文件格式。一个 APK 包中通常包含一个 classes.dex 文件，它是所有 Java/Kotlin 代码经过编译后的产物。DE...

前言 在前面的文章中，我们已经了解了 FART 的整体使用场景和脱壳流程。然而，FART 之所以能够高效地完成脱壳，核心在于它选择了恰到好处的"脱壳点"——即 DEX 文件在内存中被解密完成、但尚未被系统做进一步处理的那个瞬间。 本文将深入分析 FART 在 Dalvik 和 ART 两个运行时下分别选择了哪些脱壳点，这些脱壳点各自的优缺点是什么，以及在实际对抗不同壳时...

FART 简介 FART（First Android Unpack Tool）是由安全研究员归零（GitHub ID：hanbinglengyue/FART）开源的一款基于 ART 虚拟机的自动化脱壳工具。与传统的内存 dump 方案不同，FART 选择在 ART 的类加载流程中主动介入，通过系统级 hook 实现对加密 DEX 的完整还原。 项目开源地址：https://github.c...

前言 在 Android 逆向工程中，“加壳"是最常见的应用保护手段。所谓"壳”，就是在原始 APK 外层包裹一层加密或混淆逻辑，使得攻击者无法直接通过 jadx、apktool 等工具反编译出真实的业务代码。随着攻防对抗的升级，加壳技术经历了从简单到复杂、从用户态到内核态的多次迭代。 本文将系统梳理五代壳的核心原理、代表产品及对应的脱壳思路，帮助你建立对加壳技术的全局...

前言 在 Android 逆向工程中，「加壳」是一种常见的 APP 保护手段。加壳的核心思想是：将原始的 DEX 文件加密后藏起来，用一段壳程序替代它运行，在运行时再将真实 DEX 解密并加载到内存中。理解加壳 APP 的运行流程，是后续学习脱壳技术的基础前提。 本文将从 APK 文件结构出发，对比正常 APP 与加壳 APP 的启动差异，逐步拆解壳程序的运行机制。 APK 文件结构回顾...

什么是抽取壳 在 Android 安全领域，抽取壳（Extraction Packer） 是一种常见且经典的加固方案。它的核心思想非常直观——把 DEX 文件中每个方法的字节码（机器指令）“抽走”，只留一个空壳。当应用运行时，壳程序再将这些字节码动态地填回原位，使程序能够正常执行。 具体来说，抽取壳会： 解析 classes.dex，找到每个方法对应的 code_item 结构体 提取 ...

前言 Android 系统的开放性使其成为全球使用最广泛的移动操作系统，同时也成为安全研究的重要战场。随着移动应用安全防护技术的不断升级，加壳（加固）技术已经成为行业标配。对于安全从业者而言，理解逆向分析和脱壳的意义，是深入 Android 安全领域的必经之路。 本文将从实际应用场景出发，系统讲解逆向分析的价值、加壳技术的现状、脱壳的核心意义，以及如何将脱壳融入到完整的逆向流程中。 为什...

抽取壳的原理 在理解 FART 的脱壳点之前，必须深入理解抽取壳的工作原理。抽取壳是目前主流的 Android 加固方案所采用的核心技术，它不是简单地对整个 DEX 进行加密，而是对 DEX 内部的方法级代码进行精确操作。 code_item 与 DEX 结构 在 DEX 文件格式中，每个方法都通过 code_item 结构来存储其 Dalvik 字节码。一个 DEX 文件的层次结构如下...

DEX 加载流程概述 要理解脱壳技术，首先必须深入理解 Android 虚拟机加载和执行 DEX 字节码的完整流程。Android 经历了从 Dalvik 虚拟机到 ART（Android Runtime）虚拟机的重大架构变更，两者在 DEX 加载和执行的机制上存在显著差异。掌握这些差异，是理解各类脱壳方案设计思路的基础。 本文将分别详细分析 Dalvik 和 ART 下 DEX 的加载流...

FART 与 Frida 的互补关系 FART 和 Frida 是 Android 逆向工程中两个极其重要的工具，它们在脱壳领域具有天然的互补关系。理解它们各自的优势和局限，以及如何将它们结合起来使用，能够大幅提升脱壳的效率和成功率。 FART 的优势与局限 FART 的优势： 系统级权限：FART 通过修改 AOSP 源码实现，运行在系统层面，拥有最高权限，可以访问虚拟机的所有内部数...

FART 架构设计概述 FART（First ART Unpack Tool）是第一个基于 ART 虚拟机源码修改的自动化脱壳工具，由作者非虫开发并开源。它通过修改 AOSP 源码，在 Android 系统层面对 DEX 加载过程进行拦截，实现了对抽取壳的全自动脱壳。 FART 的整体架构设计围绕三个核心模块展开：主动调用机制、DEX Dump 机制和 DEX 修复机制。这三个模块协同工作...

什么是加壳 在 Android 逆向工程的语境中，“加壳”（Packing）是指对 APK 中的核心文件（主要是 classes.dex）进行加密、混淆或压缩处理，并通过一个额外的"壳程序"（Stub/Shell）来负责在运行时解密并加载原始 DEX 的一种保护技术。壳程序通常是一个未加密的 DEX 文件或 Native SO 库，它在 Application 启动时优...