|
|
FART脱壳机的镜像如下图!
如果还有人不知道FART是啥,在这里稍微科普下,FART是ART环境下基于主动调用的自动化脱壳方案,FART的创新主要在两个方面:
- 之前所有的内存脱壳机都是基于Dalvik虚拟机做的,比如F8LEFT大佬的FUPK3,只能在安卓4.4之下使用,FART开创了ART虚拟机内存脱壳的“新纪元”,上至最新的安卓10甚至还在preview的安卓11都可以。
- 在ART虚拟机中彻底解决函数抽取型壳的问题;构造主动调用链,主动调用类中的每一个方法,并实现对应CodeItem的dump,最终实现完整dex的修复和重构。
下载下来是个线刷包,解压,手机进入bootloader模式,执行其中的flash-all.bat或flash-all.sh即可开始刷机,刷机完成后自动重启,进入aosp系统。
这是一个单纯用来脱壳的系统,进入系统后,任何安装的软件都会被自动脱壳,所以切忌不要用于任何日常调试,否则后台跑个主动调用来获取所有artmethod的codeitem,是没有任何性能可言的。
- 组件一:可以整体dump目前已知的所有整体型壳;对于未做函数体清场的二代壳也被整体扒下来了,这部分占很大比例;
- 组件二:构造主动调用链,欺骗壳去自己解密函数体,然后dump函数体;
- 组件三:将解密出来的函数体与函数名索引一一对应;(todo:填回dex文件)
|
|
发 帖
发表于 2022-11-28 14:04:21