基于 dexdump + Objection + Frida 的 Android 动态密文分析实战<\/h1>

1. 背景与工具概述<\/h2>

在 Android 应用安全分析中，常会遇到动态加载或运行时解密代码的情况（类似 Windows 平台的 SMC 技术）。静态分析难以处理这类问题，需要动态分析手段。本实战通过具体案例演示如何组合使用以下工具进行动态密文分析：<\/p>

frida-dexdump<\/strong>: 用于内存 DEX 脱壳<\/li>
Objection<\/strong>: 基于 Frida 的动态分析工具，提供内存操作、类方法调用等功能<\/li>
Frida<\/strong>: 动态插桩框架，支持自定义 JavaScript 脚本<\/li>
CyberChef<\/strong>: 网络版编解码与加密工具<\/li>

Python<\/strong>: 辅助脚本编写<\/li> <\/ul>

注意：案例中应用使用了魔改 RC4 和 AES 加密算法。<\/p> <\/blockquote>

2. 工具安装与配置<\/h2>
2.1 安装 Frida 及相关工具<\/h3>
pip install frida-tools objection <\/span><\/span><\/code><\/pre>2.2 安装 frida-dexdump<\/h3> pip install frida-dexdump <\/span><\/span><\/code><\/pre>2.3 准备 CyberChef<\/h3> 访问 https:\/\/gchq.github.io\/CyberChef\/<\/a> 即可使用。<\/p> 3. 实战步骤<\/h2> 3.1 脱壳：使用 frida-dexdump 提取 DEX 文件<\/h3> 确保 Android 设备（或模拟器）开启 USB 调试，并安装目标应用。<\/li> 运行以下命令进行脱壳：<\/li> <\/ol> frida-dexdump -U -f com.example.targetapp <\/span><\/span><\/code><\/pre> 脱壳完成后，当前目录会生成多个 .dex<\/code> 文件。<\/li> <\/ol> 3.2 静态分析遇到问题及解决<\/h3> 问题：将脱壳后的 DEX 文件导入 IDA 时出现报错。<\/li> 解决：在 IDA 加载过程中选择 “No”<\/strong>（不进行校验），即可正常加载分析。<\/li> <\/ul> 3.3 动态分析获取密文<\/h3> 分析发现密文在运行时动态解密，因此需通过动态方式提取。<\/p> 方法一：使用 Objection 直接查看内存<\/h4> 注入 Objection 到目标进程：<\/li> <\/ol> objection -g com.example.targetapp explore <\/span><\/span><\/code><\/pre> 在 Objection shell 中搜索或遍历内存中的字符串：<\/li> <\/ol> android hooking list classes <\/span><\/span>android hooking search methods "decrypt"<\/span> <\/span><\/span>memory list strings <\/span><\/span><\/code><\/pre>方法二：使用 Frida 脚本主动调用解密方法<\/h4> 若已知解密函数，可编写 Frida 脚本直接调用：<\/p> Java<\/span>.perform<\/span>(function<\/span> () { <\/span><\/span> var<\/span> targetClass<\/span> =<\/span> Java<\/span>.use<\/span>("com.example.targetapp.CryptoUtils"<\/span>); <\/span><\/span> var<\/span> decryptedData<\/span> =<\/span> targetClass<\/span>.decryptMethod<\/span>("encrypted_data_here"<\/span>); <\/span><\/span> console<\/span>.log<\/span>("Decrypted: "<\/span> +<\/span> decryptedData<\/span>); <\/span><\/span>}); <\/span><\/span><\/code><\/pre>执行脚本：<\/p> frida -U -f com.example.targetapp -l decrypt_script.js <\/span><\/span><\/code><\/pre>获取到的密文<\/h4> 本例中密文为： MD97pPa8Dd3cAlJSdCHkPTwmtVL64przZk3HFpU5JaiVrD6dMEhq3BKLXuk6iT4F<\/code><\/p> 3.4 解密步骤<\/h3> 第一步：AES 解密<\/h4> 使用 CyberChef 进行 AES 解密：<\/p> 输入密文<\/li> 选择 AES Decrypt<\/li> 设置参数（如模式、密钥、IV等，需根据静态分析结果确定）<\/li> <\/ul> 第二步：魔改 RC4 解密<\/h4> 由于算法被魔改，需调用应用内的解密函数或自行实现算法：<\/p> 方案一：通过 Frida 调用内置 RC4 解密函数<\/li> 方案二：根据逆向出的算法逻辑用 Python 实现解密<\/li> <\/ul> def<\/span> custom_rc4_decrypt<\/span>(ciphertext, key): <\/span><\/span> # 实现魔改RC4逻辑<\/span> <\/span><\/span> pass<\/span> <\/span><\/span><\/code><\/pre> 4. 获取 Flag<\/h2> 经过 AES 解密和魔改 RC4 解密后，最终得到 Flag。<\/p> 5. 关键点总结<\/h2> 脱壳是基础<\/strong>：使用 frida-dexdump<\/code> 可有效处理加固应用的脱壳。<\/li> 动静结合<\/strong>：静态分析发现算法逻辑，动态分析提取运行时数据。<\/li> Objection 实用命令<\/strong>： android hooking list classes<\/code><\/li> android hooking search methods<\/code><\/li> memory list strings<\/code><\/li> <\/ul> <\/li> Frida 脚本调用<\/strong>：主动调用解密函数可快速获取解密结果。<\/li> 算法魔改处理<\/strong>：需结合逆向结果自定义解密逻辑或调用原方法。<\/li> <\/ol> 6. 参考文献与扩展<\/h2> frida-dexdump 官方文档<\/a><\/li> Objection GitHub<\/a><\/li> Frida JavaScript API<\/a><\/li> CyberChef 官方页面<\/a><\/li> <\/ul> 通过本实战，你可掌握处理 Android 动态密文的基本流程与关键技巧。<\/p>