drizzleDumper:基于内存搜索的Android脱壳工具
一、工具介绍
drizzleDumper 是一款基于内存搜索的 Android 脱壳工具,主要用于从加固的 Android 应用程序中提取原始的 DEX 文件。它通过分析应用程序运行时的内存,定位并提取被加固的 DEX 文件,从而帮助开发者、安全研究人员进行逆向工程和安全分析。该工具适用于多种加固方案,如 360 加固、爱加密等,具有高效、兼容性强、易用性好的特点
核心功能:
- 内存搜索:通过分析应用运行时的内存,定位并提取 DEX 文件。
- 脱壳:将提取的 DEX 文件保存到指定位置,便于后续分析。
- 兼容性强:支持多种 Android 版本和加固方案
项目地址:
drizzleDumper GitHub 项目
二、安装教程
环境准备:
- Android 设备:已 root,并启用开发者模式。
- ADB 工具:安装 Android 调试桥(ADB)。
- Git 和 Android NDK:用于克隆和编译项目
安装步骤:
- 克隆项目:
git clone https://github.com/DrizzleRisk/drizzleDumper.git
cd drizzleDumper- 编译项目:
make- 推送工具到设备:
adb push drizzleDumper /data/local/tmp/- 赋予执行权限:
adb shell chmod 777 /data/local/tmp/drizzleDumper
``` [1](@ref)[84](@ref)三、基础使用教程
操作步骤:
- 进入设备 Shell:
adb shell- 获取 Root 权限:
su- 执行脱壳:
/data/local/tmp/drizzleDumper <package_name> <wait_time_in_seconds>例如,对包名为 com.example.app 的应用脱壳,等待 10 秒:
/data/local/tmp/drizzleDumper com.example.app 10- 提取 DEX 文件:
adb pull /data/local/tmp/<output_dex_file>
``` [1](@ref)[11](@ref)注意事项:
- 等待时间:根据应用的启动时间调整
wait_time_in_seconds,确保工具有足够的时间搜索内存。 - 包名确认:通过
AndroidManifest.xml或其他工具确认目标应用的包名
四、进阶使用教程
1. 多版本加固脱壳:
drizzleDumper 支持多种加固方案,可通过调整等待时间和多次运行以提高脱壳成功率。例如,对于 360 加固的应用,建议增加等待时间并多次尝试
2. 结合其他工具:
- TUnpacker 和 BUnpacker:与 drizzleDumper 互补,适用于特定加固方案的脱壳
- Jadx:用于反编译脱壳后的 DEX 文件,进一步分析代码逻辑
3. 自定义脚本:
通过编写脚本自动化脱壳流程,例如批量脱壳多个应用或调整参数以优化脱壳效率
4. 调试与优化:
- 日志分析:通过查看工具输出的日志,定位脱壳失败的原因。
- 性能优化:调整内存搜索算法或优化编译参数,提高脱壳效率
五、总结
drizzleDumper 是一款功能强大且易于使用的 Android 脱壳工具,适用于多种加固方案的逆向分析。通过本文的安装和使用教程,用户可以快速上手并掌握其核心功能。对于进阶用户,结合其他工具和自定义脚本可以进一步提高脱壳效率和成功率
官方下载地址:
drizzleDumper GitHub 项目