滨州网站seo石龙网站建设

版权归作者所有，如有转发，请注明文章出处：https://cyrus-studio.github.io/blog/

前言

在上一篇《手写 Android Dex VMP 壳：自定义虚拟机 + 指令解释执行全流程》中，我们从零实现了一个简易的 Dex VMP 壳，通过自定义虚拟机和指令解释执行，让应用代码在运行时以“虚拟指令流”的方式运行，大大增加了逆向分析的难度。

如果攻击者能够直接读取 Dex 中的虚拟指令流，那么依然可能进行还原。为了解决这一问题，本篇将进一步升级：在 Dex VMP 基础上引入指令流加密与动态加载 。

通过 AES 算法 对指令流进行加密，运行时再解密并交给虚拟机执行，从而让静态分析几乎无从下手。

Dex VMP 指令流加密 + 动态加载完整流程

Dex VMP 指令流加密 + 动态加载执行完整流程大概如下：

 ┌──────────────────────┐│     原始 Dex 指令流   │└──────────┬───────────┘│▼┌─────────────────────────┐│ 保存指令流到文件 / 内存   │└──────────┬──────────────┘│▼┌─────────────────────────┐│       使用 AES 加密      ││ (key/iv 固定或动态生成)   │└──────────┬──────────────┘│▼┌─────────────────────────┐│    得到加密后的指令流文件 ││ （静态分析无法直接还原）  │└──────────┬──────────────┘│┌────────▼──────────────┐│   Android 运行时启动   │└────────┬──────────────┘│▼┌────────────────────────┐│  动态读取加密指令流文件  │└──────────┬─────────────┘│▼┌────────────────────────┐│       AES 解密恢复      ││  （内存中得到明文指令流）│└──────────┬─────────────┘│▼┌──────────────────────────┐│   将解密后的指令流交给 VMP ││   → 自定义虚拟机解释执行   │└──────────┬───────────────┘│▼┌─────────────────────────┐│    App 正常运行业务逻辑   ││ （逆向者难以静态还原逻辑） │└─────────────────────────┘

核心思路 ：

1. 编译/打包阶段：把 Dex 指令流抽取出来，AES 加密，存储到文件中。

2. 运行时阶段：App 启动时，从文件中加载 → AES 解密 → 交给虚拟机解释执行。

3. 保护效果：静态分析拿到的 Dex 是“假代码”，真正的逻辑被加密隐藏，只有运行时内存里才会出现明文。

保存指令流到文件

在 010Editor 中搜索找到 sign 方法的字节码并复制

新建 Hex 文件

把 sign 方法字节码粘贴到新建的文件保存文件为 sign

AES加解密

编写一个 kotlin 语言 AES 加解密算法工具类

package com.cyrus.vmpimport java.io.ByteArrayOutputStream
import java.io.File
import java.io.FileInputStream
import java.io.FileOutputStream
import javax.crypto.Cipher
import javax.crypto.KeyGenerator
import javax.crypto.SecretKey
import javax.crypto.spec.SecretKeySpecobject AESUtils {private const val ALGORITHM = "AES"private const val TRANSFORMATION = "AES/ECB/PKCS5Padding" // AES 加密模式// 生成一个 128 位的 AES 密钥fun generateSecretKey(): SecretKey {val keyGenerator = KeyGenerator.getInstance(ALGORITHM)keyGenerator.init(128) // AES 128 位return keyGenerator.generateKey()}// 使用给定的密钥加密数据fun encrypt(data: ByteArray, key: SecretKey): ByteArray {val cipher = Cipher.getInstance(TRANSFORMATION)cipher.init(Cipher.ENCRYPT_MODE, key)return cipher.doFinal(data)}// 使用给定的密钥解密数据fun decrypt(data: ByteArray, key: SecretKey): ByteArray {val cipher = Cipher.getInstance(TRANSFORMATION)cipher.init(Cipher.DECRYPT_MODE, key)return cipher.doFinal(data)}// 将文件内容加密并导出到新文件fun encryptFile(inputFile: File, outputFile: File, keyFile: File) {// 读取文件内容val fileData = readFile(inputFile)// 生成密钥val secretKey = generateSecretKey()// 加密文件内容val encryptedData = encrypt(fileData, secretKey)// 保存加密后的数据到新文件（.vmp 文件）writeFile(outputFile, encryptedData)// 保存密钥到文件saveKeyToFile(secretKey, keyFile)}// 解密文件内容并导出到新文件fun decryptFile(inputFile: File, outputFile: File, keyFile: File) {// 从文件加载密钥val secretKey = loadKeyFromFile(keyFile)// 读取加密后的文件内容val encryptedData = readFile(inputFile)// 解密文件内容val decryptedData = decrypt(encryptedData, secretKey)// 保存解密后的数据到文件writeFile(outputFile, decryptedData)}// 读取文件内容并返回字节数组fun readFile(file: File): ByteArray {val fis = FileInputStream(file)val baos = ByteArrayOutputStream()val buffer = ByteArray(1024)var bytesRead: Intwhile (fis.read(buffer).also { bytesRead = it } != -1) {baos.write(buffer, 0, bytesRead)}fis.close()return baos.toByteArray()}// 将字节数组写入到文件fun writeFile(file: File, data: ByteArray) {val fos = FileOutputStream(file)fos.write(data)fos.close()}// 保存密钥到文件private fun saveKeyToFile(key: SecretKey, keyFile: File) {val fos = FileOutputStream(keyFile)fos.write(key.encoded)fos.close()}// 从文件加载密钥fun loadKeyFromFile(keyFile: File): SecretKey {val keyBytes = ByteArray(keyFile.length().toInt())val fis = FileInputStream(keyFile)fis.read(keyBytes)fis.close()return SecretKeySpec(keyBytes, ALGORITHM)}}

指令流加密

把 sign 文件放到工程中如下路径

调用 AESUtils 类中方法对 sign 进行加密并输出加密文件和密钥

package com.cyrus.vmpimport java.io.Filefun main() {// 获取工程根目录路径val projectRoot = System.getProperty("user.dir")// 设置相对路径val encryptedFile = File(projectRoot, "vmp/sign/sign.vmp") // 相对路径val keyFile = File(projectRoot, "vmp/sign/sign.key") // 相对路径// 输入文件路径val inputFile = File(projectRoot, "vmp/sign/sign") // 需要加密的文件try {// 使用 AES 加密文件AESUtils.encryptFile(inputFile, encryptedFile, keyFile)println("File encryption completed, saved as: ${encryptedFile.absolutePath}")println("Key saved as: ${keyFile.absolutePath}")} catch (e: Exception) {e.printStackTrace()}
}

指令流解密

package com.cyrus.vmpimport com.cyrus.vmp.AESUtils.loadKeyFromFile
import com.cyrus.vmp.AESUtils.readFile
import com.cyrus.vmp.AESUtils.writeFile
import java.io.Filefun main() {// 获取工程根目录路径val projectRoot = System.getProperty("user.dir")// 输入加密文件路径val encryptedFile = File(projectRoot, "vmp/sign/sign.vmp")// 密钥文件路径val keyFile = File(projectRoot, "vmp/sign/sign.key")// 输出解密文件路径val decryptedFile = File(projectRoot, "vmp/sign/sign_")try {// 从文件加载密钥val secretKey = loadKeyFromFile(keyFile)// 解密文件val encryptedData = readFile(encryptedFile)val decryptedData: ByteArray = AESUtils.decrypt(encryptedData, secretKey)// 保存解密后的文件writeFile(decryptedFile, decryptedData)println("File decryption completed, saved as: ${decryptedFile.absolutePath}")} catch (e: Exception) {e.printStackTrace()}
}

Android 中运行时解密并执行指令流

将 .vmp 和 .key 文件放在 Android 应用的 assets 目录下

编写工具类，用于读取 assets 文件并解密

package com.cyrus.example.vmpimport android.content.Context
import java.io.InputStream
import javax.crypto.Cipher
import javax.crypto.SecretKey
import javax.crypto.spec.SecretKeySpecobject AESUtils {private const val ALGORITHM = "AES"private const val TRANSFORMATION = "AES/ECB/PKCS5Padding"// 从 assets 中读取文件并解密fun decryptFileFromAssets(context: Context, vmpFileName: String, keyFileName: String): ByteArray? {// 读取密钥文件val key = loadKeyFromAssets(context, keyFileName)// 读取加密的 vmp 文件val encryptedData = readFileFromAssets(context, vmpFileName)// 解密return decrypt(encryptedData, key)}// 读取文件内容为字节数组private fun readFileFromAssets(context: Context, fileName: String): ByteArray {val inputStream: InputStream = context.assets.open(fileName)return inputStream.readBytes()}// 从 assets 中加载密钥文件private fun loadKeyFromAssets(context: Context, keyFileName: String): SecretKey {val keyBytes = readFileFromAssets(context, keyFileName)return SecretKeySpec(keyBytes, ALGORITHM)}// 解密private fun decrypt(data: ByteArray, key: SecretKey): ByteArray {val cipher = Cipher.getInstance(TRANSFORMATION)cipher.init(Cipher.DECRYPT_MODE, key)return cipher.doFinal(data)}
}

调用解密方法并读取指令流

private fun readInstructionFromAssets(): ByteArray? {// 文件名：在 assets 中放置的加密文件和密钥文件val vmpFileName = "sign.vmp"val keyFileName = "sign.key"// 解密文件val decryptedData = AESUtils.decryptFileFromAssets(this, vmpFileName, keyFileName)return decryptedData
}

得到解密后的指令流后调用 VMP 执行指令流对 input 参数加密

val input = "example"// 解密并执行指令流
val bytecode = readInstructionFromAssets()// 通过 VMP 解析器执行指令流
if (bytecode != null) {val result = SimpleVMP.execute(bytecode, input)// 显示 ToastToast.makeText(this, result, Toast.LENGTH_SHORT).show()
}

测试

执行结果如下

和原来的 sign 算法对比是结果是一样的。

完整源码

开源地址：https://github.com/CYRUS-STUDIO/AndroidExample