android-加壳加固

分类于

android-加壳

前篇

as 原生混淆 Proguard 没啥卵用

Proguard的混淆方法就是对其中的类名和方法名去除其对应的意思,因为,逆向工作者可以根据类名和方法名猜出函数的意思,可以大大降低逆向难度,但是Proguard并没有对指令进行改变,所以使用Proguard进行混淆的强度比较低。

整体流程

ClassLoader

so 文件查看符号表

  1. 查看命令

    1
    $ nm -D libx8a3pjbix.so

    as

  2. 只显示 T (方法), 加个 awk

    1
    $ nm -D libx8a3pjbix.so | awk '{if($2=="T"){print $3}}'

踩坑

java 壳 套 kotlin 源 闪退

报错找不到资源 id: java.lang.RuntimeException: Unable to start activity ComponentInfo{com.jared.testshell/com.jared.apktest.MainActivity}: android.content.res.Resources$NotFoundException: Drawable com.jared.apktest:dimen/abc_text_size_display_4_material with resource ID #0x7f050040

  • 原因未明, 但是 kotlin/java 壳 套 java 源 就没问题, kotlin 壳 套 kotlin 源 也没问题

so 库开发

so 库里脱壳

ida 分析 so

hook

插件化

插件框架对比

源码记录

混淆

实测加固流程

  1. 直接把 apk 当成 zip 解压到一个 目录 a 中

  2. 让后对 dex, so 加固处理

  3. 然后把 目录 a 用 zip 压缩为 apk 文件

    压缩过程中, resources.arsc 文件不能压缩, 要以文档形式存储 ZIP_STORED, 不然会出现这个错误 [安装到 安卓 11+ (API 级别 30) 机子未 4 字节对齐 或者 resources.arsc 被压缩了](#安装到 安卓 11+ (API 级别 30) 机子未 4 字节对齐 或者 resources.arsc 被压缩了)

  4. 对压缩好的 apk 进行 4 字节对齐

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
        $ zipalign.exe -p -f -v 4 I:/unalign.apk I:/align.apk

    5.4 字节对齐好的 apk, 用 apksigner (不是 jarsigner) 进行签名.

        ```json
        $ java -jar apksigner.jar sign -verbose --v1-signing-enabled false --v2-signing-enabled true --ks "E:/test_jks.jks" --ks-key-alias test_alias --ks-pass pass:test_pass --key-pass pass:test_pass --out I:/signed.apk --in I:/align.apk



    ---

    ### 虚拟化

    - Android虚拟化引擎VirtualApp探究 - https://zhuanlan.zhihu.com/p/40372627



    ---

    ### 踩坑

    #### apktool 编译 apk 时报 values-v31 错误

    报错: `res\values-v31\colors.xml:3: error: Error: Resource is not public.`

    这个错误时 sdk 使用了 *31+* 造成的, apktool 还不支持 31+, 

    - 解决办法是把 sdk 设置为 30

        ```groovy
        compileSdkVersion 30
        buildToolsVersion "30.0.2"
        defaultConfig {
            minSdkVersion 19
            targetSdkVersion 30
        }

apktool 编译 apk 时引用库 sdk 超过 30

报错

1
2
3
4
5
6
7
Execution failed for task ':app_shell:checkDebugAarMetadata'.
> A failure occurred while executing com.android.build.gradle.internal.tasks.CheckAarMetadataWorkAction
   > The minCompileSdk (31) specified in a
     dependency's AAR metadata (META-INF/com/android/build/gradle/aar-metadata.properties)
     is greater than this module's compileSdkVersion (android-30).
     Dependency: androidx.appcompat:appcompat:1.4.1.
     AAR metadata file: C:\Users\wilker\.gradle\caches\transforms-3\34a5f42d2f1863af6e2f0b71a2ab8437\transformed\appcompat-1.4.1\META-INF\com\android\build\gradle\aar-metadata.properties.

壳 apk 里引用库 androidx.appcompat:appcompat:1.4.1 是使用 sdk 31 编译的

  • 解决办法是引用不超过 sdk 30 编译的库 implementation 'androidx.appcompat:appcompat:1.3.1'

apktool 编译 apk 时报错 requestLegacyExternalStorage

报错: AndroidManifest.xml:42: error: No resource identifier found for attribute 'requestLegacyExternalStorage' in package 'android'

  • 解决办法: 移除掉 ‘requestLegacyExternalStorage’ 配置 即可

壳运行时 启动 activity 失败

报错

1
2
3
Process: com.rmgrummy.pro, PID: 15023
    java.lang.RuntimeException: Unable to instantiate activity ComponentInfo{com.rmgrummy.pro/com.yang.androidaar.ReferrerActivity}: java.lang.ClassNotFoundException: Didn't find class "com.yang.androidaar.ReferrerActivity" on path: DexPathList[[zip file "/data/user/0/com.rmgrummy.pro/app_payload_odex/payload.apk"],nativeLibraryDirectories=[/data/user/0/com.rmgrummy.pro/app_payload_lib, /system/lib, /vendor/lib]]
        at android.app.ActivityThread.performLaunchActivity(ActivityThread.java:2570)

因为在 源 apk 中配置了启动项为 com.yang.androidaar.ReferrerActivity, 而壳中有没有去 loadClass

  • 解决办法有两种
    1. 启动时在 壳 代码里去 load 配置在 壳 apk 中 AndroidManifest.xml 里配置的启动 activity
    2. 修改 壳 apk 中 AndroidManifest.xml 里配置的启动 activity 为 壳 代码 load 的 activity

脱壳后运行 源 apk 时不支持 kotlin 反射

报错: kotlin.jvm.KotlinReflectionNotSupportedError: Kotlin reflection implementation is not found at runtime. Make sure you have kotlin-reflect.jar in the classpath

报错 java.lang.IllegalArgumentException: Parameter specified as non-null is null: method kotlin.jvm.internal.Intrinsics.checkParameterIsNotNull, parameter cookieJar

可能是 源 apk 里引用的 第三方 sdk 里面有使用 kotlin 编译的库, 所以报了这个错误

脱壳后运行 源 apk 时找不到对应 cpu 的 so 库

报 Android 错找不到对应 cpu so 的弹窗提示

虽然脱壳后有对应的 so 库在指定 cpu 目录, 但是报错

  • 解决办法: 在 壳 工程里创建 对应 cpu 的目录, 并且创建一个空 libXXX.so 库即可 (暂时不清楚为啥), 如 lib\armeabi-v7a\libBugly.solib\arm64-v8a\libBugly.so

    image-20221009102156129

    !!!PS: 如果同时创建两个 cpu 目录 lib\armeabi-v7a\libBugly.solib\arm64-v8a\libBugly.so, 也会弹窗报错, 只能创建对应 cpu 的 so 文件

    如果是上架 google, 则可以创建两个, 因为谷歌会根据 cpu 分发不同的 so 的 apk 给用户安装.

脱壳后运行 源 apk 时找不到对应 cpu 的 dex

报错

1
2
3
java.lang.IncompatibleClassChangeError: Structural change of androidx.fragment.app.Fragment is hazardous (/data/user/0/com.rmgrummy.pro/app_payload_odex/payload.dex at compile time, /data/app/com.rmgrummy.pro-1/oat/x86/base.odex at runtime): Virtual method count off: 179 vs 184
    Landroidx/fragment/app/Fragment; (Compile time):
     Static fields:

在调用显示界面的代码时报了这个错误, 是因为 源 apk 打包时没有打运行机子 cpu 的 so

  • 解决办法: 打 源 apk 时打包运行机子的 so 库即可

安装到 安卓 11+ (API 级别 30) 机子未 4 字节对齐 或者 resources.arsc 被压缩了

报错: adb: failed to install xxx.apk: Failure [-124: Failed parse during installPackageLI: Targeting R+ (version 30 and above) requires the resources.arsc of installed APKs to be stored uncompressed and aligned on a 4-byte boundary]

  • 这里有有可能有两个问题

    1. resources.arsc 被压缩了
      • 解决办法: 在压缩 apk 目录文件时, 对 resources.arsc 特别处理, 不进行压缩 默认 zip 压缩类型是 ziplib.ZIP_DEFLATED, 需要针对这个文件设置为 ziplib.ZIP_STORED, Python 参考代码 
        1
        2
        3
        4
        5
        6
        7
        8
        9
        10
        11
        12
        13
        14
        15
        16
        17
        18
        19
        20
                # 压缩 srcDir 目录为 dstFile
                def zipDir(srcDir: str, dstFile: str, mode: int = ziplib.ZIP_DEFLATED, isIncludeParent: bool = True):
                    with ziplib.ZipFile(dstFile, 'w', mode) as zip:
                        pDir = isIncludeParent and os.path.dirname(srcDir) or srcDir
                        for root, dirs, files in os.walk(srcDir):
                            for file in files:
                                absDir = os.path.join(root, file)
                                relativeDir = absDir.replace(pDir, "")
                                if "resources.arsc" in relativeDir: # 特殊处理这个文件
                                    zip.write(absDir, relativeDir, ziplib.ZIP_STORED)
                                else:
                                    zip.write(absDir, relativeDir)
            
            - 参考: NEPTUNE ANDROID11 RESOURCES.ARSC不支持压缩问题解决 - https://www.freesion.com/article/75641402392/
            
        2. apk 包未 4 字节对齐
            - 签名前, 4 字节对齐一下, 然后再签名

            ```json
            $ zipalign -p -f -v 4 in_unalign.apk out_align.apk
      参考: Android之通过 apksigner 对 apk 进行 手动签名 - https://blog.csdn.net/q610098308/article/details/105138228

安装到 安卓 11+ 机子报错至少要 scheme v2

报错: ERROR: Target SDK version 32 requires a minimum of signature scheme v2; the APK is not signed with this or a later signature scheme

  • 解决办法: 使用 apksigner.jar 去签名, 不要用 jarsigner.jar

    1
    $ java -jar apksigner.jar sign -verbose --v1-signing-enabled false --v2-signing-enabled true --ks [证书文件.jks] --ks-key-alias [证书别名] --ks-pass pass:[证书密码] --key-pass pass:[别名密码] --out [out_sign.apk] --in [in_unsign.apk]

解压 native 库失败

报错: INSTALL_FAILED_INVALID_APK: Failed to extract native libraries, res=-2