Unidbg 使用和加载 SO 文件的方法 在 Android 逆向工程中，分析 Native 层的 SO 文件是一项核心任务。传统方式需要真机或模拟器配合 Frida 等工具进行 hook，但这种方式存在设备依赖、环境复杂、调试不便等问题。Unidbg 作为一个基于 Unicorn 的 Android Native 模拟执行框架，能够在纯 PC 环境中模拟执行 SO 文件中的函数，极大地...

ART 虚拟机简介 从 Android 5.0（Lollipop）开始，Dalvik 虚拟机被 ART（Android Runtime）正式取代。ART 带来了根本性的架构变革，理解这些变革是掌握 ART 脱壳技术的前提。 AOT 编译 ART 最大的特点是引入了 AOT（Ahead-Of-Time）预编译。在应用安装时，系统会将 DEX 字节码编译为本地机器码（ELF 格式），存储在 ...

前言 ClassLoader（类加载器）是 Java 虚拟机和 Android 运行时中负责加载字节码文件的核心组件。在 Android 逆向工程中，理解 ClassLoader 的工作机制是掌握加壳与脱壳技术的必要前提——几乎所有第一代、第二代壳的核心原理都围绕 ClassLoader 展开。 本文将从 Java ClassLoader 基础出发，逐步深入到 Android 体系中的 C...

Dalvik 虚拟机简介 在深入脱壳技术之前，我们需要先理解 Dalvik 虚拟机的基本架构，因为所有 Dalvik 时代的脱壳方案都建立在这些底层机制之上。 DEX 文件格式 DEX（Dalvik Executable）是 Android 应用程序的可执行文件格式。一个 APK 包中通常包含一个 classes.dex 文件，它是所有 Java/Kotlin 代码经过编译后的产物。DE...

前言 在前面的文章中，我们已经了解了 FART 的整体使用场景和脱壳流程。然而，FART 之所以能够高效地完成脱壳，核心在于它选择了恰到好处的"脱壳点"——即 DEX 文件在内存中被解密完成、但尚未被系统做进一步处理的那个瞬间。 本文将深入分析 FART 在 Dalvik 和 ART 两个运行时下分别选择了哪些脱壳点，这些脱壳点各自的优缺点是什么，以及在实际对抗不同壳时...

FART 简介 FART（First Android Unpack Tool）是由安全研究员归零（GitHub ID：hanbinglengyue/FART）开源的一款基于 ART 虚拟机的自动化脱壳工具。与传统的内存 dump 方案不同，FART 选择在 ART 的类加载流程中主动介入，通过系统级 hook 实现对加密 DEX 的完整还原。 项目开源地址：https://github.c...

前言 在 Android 逆向工程中，“加壳"是最常见的应用保护手段。所谓"壳”，就是在原始 APK 外层包裹一层加密或混淆逻辑，使得攻击者无法直接通过 jadx、apktool 等工具反编译出真实的业务代码。随着攻防对抗的升级，加壳技术经历了从简单到复杂、从用户态到内核态的多次迭代。 本文将系统梳理五代壳的核心原理、代表产品及对应的脱壳思路，帮助你建立对加壳技术的全局...

前言 在 Android 逆向工程中，「加壳」是一种常见的 APP 保护手段。加壳的核心思想是：将原始的 DEX 文件加密后藏起来，用一段壳程序替代它运行，在运行时再将真实 DEX 解密并加载到内存中。理解加壳 APP 的运行流程，是后续学习脱壳技术的基础前提。 本文将从 APK 文件结构出发，对比正常 APP 与加壳 APP 的启动差异，逐步拆解壳程序的运行机制。 APK 文件结构回顾...

什么是抽取壳 在 Android 安全领域，抽取壳（Extraction Packer） 是一种常见且经典的加固方案。它的核心思想非常直观——把 DEX 文件中每个方法的字节码（机器指令）“抽走”，只留一个空壳。当应用运行时，壳程序再将这些字节码动态地填回原位，使程序能够正常执行。 具体来说，抽取壳会： 解析 classes.dex，找到每个方法对应的 code_item 结构体 提取 ...

前言 Android 系统的开放性使其成为全球使用最广泛的移动操作系统，同时也成为安全研究的重要战场。随着移动应用安全防护技术的不断升级，加壳（加固）技术已经成为行业标配。对于安全从业者而言，理解逆向分析和脱壳的意义，是深入 Android 安全领域的必经之路。 本文将从实际应用场景出发，系统讲解逆向分析的价值、加壳技术的现状、脱壳的核心意义，以及如何将脱壳融入到完整的逆向流程中。 为什...