Youpk: 又一款基于ART的主动调用的脱壳机

mind

Youpk: 又一款基于ART的主动调用的脱壳机原理

Youpk是一款针对Dex整体加固+各式各样的Dex抽取的脱壳机

基本流程如下:

• 从内存中dump DEX
• 构造完整调用链, 主动调用所有方法并dump CodeItem
• 合并 DEX, CodeItem
  

从内存中dump DEX

DEX文件在art虚拟机中使用DexFile对象表示, 而ClassLinker中引用了这些对象, 因此可以采用从ClassLinker中遍历DexFile对象并dump的方式来获取.

复制

另外, 为了避免dex做任何形式的优化影响dump下来的dex文件, 在dex2oat中设置 CompilerFilter 为仅验证

复制

构造完整调用链, 主动调用所有方法

• 创建脱壳线程
  复制

  
  
• 在脱壳线程中遍历DexFile的所有ClassDef
  
  

复制

• 解析并初始化Class
  复制

  
  
• 主动调用Class的所有Method, 并修改ArtMethod::Invoke使其强制走switch型解释器
  
  

复制

• 在解释器中插桩, 在每条指令执行前设置回调
  
  

复制

• 在回调中做针对性的CodeItem的dump, 这里仅仅是简单的示例了直接dump, 实际上, 针对某些厂商的抽取, 可以真正的执行几条指令等待CodeItem解密后再dump
  
  

复制

合并 DEX, CodeItem

将dump下来的CodeItem填充到DEX的相应位置中即可. 主要是基于google dx工具修改.

参考链接

FUPK3: https://bbs.pediy.com/thread-246117.htm

FART: https://bbs.pediy.com/thread-252630.htm

刷机

• 仅支持pixel 1代
• 重启至bootloader: adb reboot bootloader
• 解压 Youpk_sailfish.zip 并双击 flash-all.bat
  百度云：https://pan.baidu.com/s/1nUC5PpYGEBvkuvV-82pluA 提取码：sc82
  

使用方法

• 该工具仅仅用来学习交流, 请勿用于非法用途, 否则后果自付！
• 配置待脱壳的app包名, 准确来讲是进程名称
  复制

  
  
• 启动apk等待脱壳
  

      每隔10秒将自动重新脱壳(已完全dump的dex将被忽略), 当日志打印unpack end时脱壳完成

   4. pull出dump文件, dump文件路径为 /data/data/包名/unpacker

复制

5. 调用修复工具 dexfixer.jar, 两个参数, 第一个为dump文件目录(必须为有效路径), 第二个为重组后的DEX目录(不存在将会创建)

• 复制

  
  

适用场景

• 整体加固
• 抽取:
  
  • nop占坑型(类似某加密)
  • naitve化, 在<clinit>中解密(类似早期阿里)
  • goto解密型(类似新版某加密?najia): https://bbs.pediy.com/thread-259448.htm
    
  
  

常见问题

• dump中途退出或卡死，重新启动进程，再次等待脱壳即可
• 当前仅支持被壳保护的dex, 不支持App动态加载的dex/jar
  

开源

仓库地址: https://github.com/youlor/unpacker