[发明专利]一种通用的DEX自动脱壳方法与系统

权利要求书

1.一种通用的DEX自动脱壳方法,其特征在于,所述方法包括如下步骤:

A、通过对Android DEX文件自动脱壳技术的研究，找到了一个通用的零知识脱壳方法，在Dalvik虚拟机的解释器中进行脱壳操作；

B、加固识别对应用是否使用加固服务进行判断与识别；

C、使用模拟运行恢复出DEX文件真正的字节码；

D、dump出dex或者odex文件的所有数据；

E、最后进行dex或者odex文件的重组和相应指针的修改。

2.根据权利要求1所述的一种通用的DEX自动脱壳方法，其特征在于，所述的步骤A进一步包括如下步骤：

A1、将Android Dalvik虚拟机的解释器指定为portable解释器，让程序运行时所有方法都使用同一个解释器解释执行；

A2、找到portable解释器中解释执行应用程序方法的函数：dvmInterpretPortable()，在该函数中插入DEX文件自动脱壳代码；

A3、以应用程序的MainActivity是否启动作为DEX文件脱壳开始的标志，如果MainActivity启动了，就开始脱壳，反之则不进行脱壳操作。

3.根据权利要求2所述的一种通用的DEX自动脱壳方法，其特征在于，步骤A1中所述的解释器指定为portable解释器具体是指：

Android Dalvik虚拟机中有三种解释器，分别为portable解释器、fast解释器和JIT解释器。其中portable解释器是C语言实现的，可以用在不同的设备上，而其余两种是汇编实现的，并且是根据相应的设备进行优化过的，移植到其他设备上的性能差，因此该工具选择portable解释器插入DEX文件脱壳代码，可以应用于不同的设备上。指定只使用这一个解释器也使得应用程序的所有方法的执行都会经过该解释器，以便之后的脱壳开始标志的定位。

4.根据权利要求2所述的一种通用的DEX自动脱壳方法，其特征在于，步骤A3中所述的脱壳开始的标志具体是指：

无论程序怎么加固，始终都会在解释器中执行MainActivity中的方法，因为程序运行的入口函数为MainActivity的onCreate()函数，所以选择应用程序的MainActivity是否启动作为DEX文件脱壳开始的标志。这时的DEX文件是被加固服务解密释放到内存中的，只是可能存在部分数据没恢复的情况。

5.根据权利要求1所述的一种通用的DEX自动脱壳方法，其特征在于，所述的步骤B进一步包括如下步骤：

B1、解析出加固应用中AndroidManifest.xml配置文件中所有的类；

B2、反编译加固应用，得到反编译出来的所有类；

B3、将B1、B2中得到的类进行对比，判断应用是否加固；

B4、使用同源性分析识别加固服务。

6.根据权利要求5所述的一种通用的DEX自动脱壳方法，其特征在于，步骤B3中所述的加固判断具体是指：

如果B1中的类包括B2中的类，而B2中的类只是B1中的类的一小部分，那么就判定应用是加固应用，需要进行DEX文件脱壳。因为AndroidManifest.xml配置文件中包含了应用运行时所有需要进行注册的组件和权限信息，这些在加固过程中是不能改变的，否则会导致应用程序无法运行，所以可以从中提取出所有组件的类。而加固服务旨在隐藏这些类，加固后的DEX文件中是没有这些组件类的，所以可以通过这样的判断进行加固识别。

7.根据权利要求1所述的一种通用的DEX自动脱壳方法，其特征在于，所述的步骤C进一步包括如下步骤：

C1、通过dvmDefineClass()函数遍历查找应用程序所有的类；

C2、通过dvmIsClassInitialized()函数判断该类是否初始化；

C3、如果类没有初始化就使用dvmInitClass()函数初始化类。