[发明专利]一种Android应用程序的动态脱壳方法

摘要

本发明公布了一种Android应用程序的动态脱壳方法，以加固后的Android应用程序为目标程序，通过利用Xposed框架，获取目标程序的dex文件，从而实现对目标程序进行脱壳；所述动态脱壳方法包括Android手机预处理过程、目标程序调试过程、对目标程序进行脱壳的过程和提取目标程序中的dex文件并修复程序的过程。Android系统中的库Libdvm.so包含函数参数是dex文件的函数如openDexFile函数，脱壳后的dex作为一个参数传到openDexFile函数，再通过在openDexFile函数下断点获取脱壳后的dex。利用本发明提供的技术方案，可有效地对恶意Android程序进行逆向分析，获取程序的源代码，从而实现对系统的安全保护。

主权项

一种Android应用程序的动态脱壳方法，以加固后的Android应用程序为目标程序，通过利用Xposed框架，获取目标程序的dex文件，从而实现对目标程序进行脱壳；所述动态脱壳方法包括Android手机预处理过程、目标程序调试过程、对目标程序进行脱壳的过程和提取目标程序中的dex文件并修复程序的过程，具体步骤如下：A.对Android手机进行预处理时，在所述Android手机上安装Xposed模块和ZjDroid模块，并重启手机激活上述安装模块；B.在对Android手机上的目标程序进行调试时，执行如下操作：B1.在电脑端IDA工具包中找到android_server文件，将所述android_server文件发送到所述Android手机上，加上可执行权限后运行所述android_server文件，并监听所述Android手机端与电脑端的连接端口；B2.在所述Android手机上安装目标程序，通过端口转发使得所述IDA连接本地端口进行远程调试；B3.在所述Android手机端以调试模式启动目标程序；C.在电脑端实现对目标程序进行脱壳，具体执行如下操作：C1.通过所述IDA找到目标程序加载的模块libdvm.so，并针对模块libdvm.so中的可操作dex文件的函数下断点；C2.判断内存中的dex文件是否是已经脱过壳的dex文件；如果不是脱壳后的dex文件，则返回执行步骤C1；如果是脱壳后的dex文件，则执行步骤D；D.在提取内存中的dex文件并修复程序时，执行如下操作：D1.通过ZjDroid反编译内存中的dex文件并转存到本地文件系统中，得到dex文件；D2.将D1得到的dex文件转成jar文件，打开jar文件得到程序的java源代码；或将D1得到的dex文件直接替换目标程序中的dex文件，再重新打包得到脱壳后的程序文件；由此完成程序修复。