[发明专利]Android平台上一种绕过虚假函数的自动脱壳技术

权利要求书

1.一种绕过虚假函数的自动脱壳技术，其特征在于，包括以下步骤：

在目标应用程序主线程启动前，插入hook代码。获取并存储方法中的参数，即已加载的所有类名称和类加载器，并遍历dvmUserDexFiles结构，获取所有cookie(已加载的dex)；

创建多个线程通过每个类的Class对象，进行分组调用所有类的方法，以获取Java类中的所有方法代码，参数也可以是从堆内存中获取的真实数据；

通过修改源码的方式，在方法执行时使用解释器解释执行，并在解析器中设置收集点，在方法执行时收集被解密的代码；

遍历Dex文件不同组成部分的内容，重组出脱壳后的Dex文件，完成脱壳；

如果方法在执行的过程中因进入了虚假函数而导致退出应用程序，对该方法进行hook，并重启应用程序继续脱壳。

2.如权利要求1所述的方法，其特征在于，包括：

在目标应用程序启动前，将hook代码插入ActivityThread类的方法中，通过对DexFile类中方法对已加载的类进行监控，获取所有已加载的类的名称和加载器并过滤掉加载的系统类，并遍历dvmUserDexFiles结构，获取所有cookie(已加载的dex)。

3.如权利要求1所述的方法，其特征在于，包括：

通过在ActivityThread中创建多个子线程，在每个子线程中通过类的包名分组获取每个类的Class对象。再通过使用Class.getDeclaredConstructors获取构造器方法，使用Class.getDeclaredMethods获取普通方法。调用方法时的参数选取，对基本数据类型的参数，使用设置的默认值；对于其它参数，可以从堆内存中获取该类已存在实例来进行反射调用上述方法。

4.如权利要求1所述的方法，其特征在于，包括：

通过修改quick_code的值进入Interpreter(解释器)模式，使用解释器执行时会调用ArtInterpreterToInterpreterBridge函数，并将代码收集点设置在此。该函数就是从执行本地机器码的方式转为使用解释器执行。

5.如权利要求1所述的方法，其特征在于，包括：

Dex文件由文件头、索引区和数据区组成，其中dex文件头部，记录了整个dex文件的相关信息；索引区则包含了字符串数据索引、数据索引、原型数据索引、字段数据索引、类方法索引、类定义数据索引；数据区则包含了各个类的真实数据。

6.如权力要求5所述的方法，其特征在于，包括：

待所有的数据收集完成之后，按照Dex文件的结构进行重组。整个重组的方法为：重新计算方法、类的数量和偏移地址信息填入新建的Dex文件的文件头，在计算数据在Dex文件中的偏移填入索引区，最后将脱壳得到的代码填入。

7.如权力要求1所述的方法，其特征在于，包括：

在每次调用方法之前，记录类的相关信息以及方法的相关信息，通过退出异常判断是否是因进入了虚假函数，如果是则对方法进行hook，插入自己的代码，不执行原有代码。重启目标应用程序，并重新对该类进行脱壳。