抽取壳的原理 在理解 FART 的脱壳点之前，必须深入理解抽取壳的工作原理。抽取壳是目前主流的 Android 加固方案所采用的核心技术，它不是简单地对整个 DEX 进行加密，而是对 DEX 内部的方法级代码进行精确操作。 code_item 与 DEX 结构 在 DEX 文件格式中，每个方法都通过 code_item 结构来存储其 Dalvik 字节码。一个 DEX 文件的层次结构如下...

DEX 加载流程概述 要理解脱壳技术，首先必须深入理解 Android 虚拟机加载和执行 DEX 字节码的完整流程。Android 经历了从 Dalvik 虚拟机到 ART（Android Runtime）虚拟机的重大架构变更，两者在 DEX 加载和执行的机制上存在显著差异。掌握这些差异，是理解各类脱壳方案设计思路的基础。 本文将分别详细分析 Dalvik 和 ART 下 DEX 的加载流...

FART 与 Frida 的互补关系 FART 和 Frida 是 Android 逆向工程中两个极其重要的工具，它们在脱壳领域具有天然的互补关系。理解它们各自的优势和局限，以及如何将它们结合起来使用，能够大幅提升脱壳的效率和成功率。 FART 的优势与局限 FART 的优势： 系统级权限：FART 通过修改 AOSP 源码实现，运行在系统层面，拥有最高权限，可以访问虚拟机的所有内部数...

FART 架构设计概述 FART（First ART Unpack Tool）是第一个基于 ART 虚拟机源码修改的自动化脱壳工具，由作者非虫开发并开源。它通过修改 AOSP 源码，在 Android 系统层面对 DEX 加载过程进行拦截，实现了对抽取壳的全自动脱壳。 FART 的整体架构设计围绕三个核心模块展开：主动调用机制、DEX Dump 机制和 DEX 修复机制。这三个模块协同工作...

什么是加壳 在 Android 逆向工程的语境中，“加壳”（Packing）是指对 APK 中的核心文件（主要是 classes.dex）进行加密、混淆或压缩处理，并通过一个额外的"壳程序"（Stub/Shell）来负责在运行时解密并加载原始 DEX 的一种保护技术。壳程序通常是一个未加密的 DEX 文件或 Native SO 库，它在 Application 启动时优...

Java.use() 进阶用法 在 FRIDA 高级逆向中，Java.use() 是 Hook Java 层代码的核心 API。除了常见的 Hook 普通类和方法外，它还支持处理枚举类、内部类和匿名类等复杂 Java 结构。 Hook 枚举类 枚举类在 Android 开发中广泛使用，例如定义状态码、类型标识等。使用 Java.use() Hook 枚举类时，需要注意枚举的静态实例是通过...

OLLVM 字符串加密的详细实现原理 字符串加密是 OLLVM 混淆中最基础也是最实用的 pass 之一。它的目标是将 SO 文件中的明文字符串转换为密文，使得静态分析工具（如 IDA 的 Strings 窗口、strings 命令）无法直接读取敏感信息。 加密流程 OLLVM 字符串加密在 LLVM 编译后端工作，具体流程如下： 源码中的字符串: "https://api.e...

什么是非标准算法 在 Android 逆向分析中，我们遇到的加密算法大致可以分为两类：标准算法和非标准算法。 标准算法：AES、DES、RSA、MD5、SHA 系列等被广泛使用的密码学算法，有公开的规范和实现 非标准算法：开发者自行实现的加密方案，包括魔改标准算法、白盒加密、自定义迭代加密等 非标准算法是逆向分析中最具挑战性的部分，因为没有现成的算法库可以直接调用，必须完整还原其实现逻...