公开(公告)号：CN117370979A

公开(公告)日：2024-01-09

申请号：CN202311302432.3

申请日：2023-10-09

Applicant: 广州大学

Inventor： 田志宏 ,  刘昊 ,  鲁辉 ,  杨南顺 ,  孙彦斌 ,  唐鹏威 ,  苏申 ,  李镇山 ,  仇晶 ,  郭帅

IPC: G06F21/56

Abstract: 本公开提供了一种系统软件脱壳方法及装置，其中，方法包括：开启脱壳线程，如果当前运行的应用程序为目标脱壳程序，利用系统机制在Native层的缓存中获取原始DEX文件，即O_DEX文件，从O_DEX文件中读取类和函数信息，借助配置中心提供的类和函数白名单对类和函数信息进行过滤，对过滤后函数进行主动调用；拦截主动调用的函数，强制让主动调用的函数进入解释器执行通道，在解释器处再次拦截主动调用的函数，记录主动调用的函数所属O_DEX文件的内存位置和大小，将主动调用的函数对应函数体的字节码写入比特文件中，当所有O_DEX文件对应的比特文件写入完毕后，下载O_DEX文件得到D_DEX文件；通过自定义修复组件将D_DEX文件与比特文件合并，得到新DEX文件。

公开(公告)号：CN117290843A

公开(公告)日：2023-12-26

申请号：CN202311226034.8

申请日：2023-09-21

Applicant: 广州大学

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  杨南顺 ,  苏申 ,  刘昊 ,  孙彦斌 ,  仇晶 ,  刘园 ,  徐光侠 ,  李默涵 ,  姜誉 ,  张乐君

IPC: G06F21/56

Abstract: 本说明书实施例提供了一种基于JNI的VMP壳函数语义还原方法、装置、设备及介质，其中，方法包括：以Android系统提供的调用Java函数的所有Java本地接口JNI的收束函数作为监控函数，通过监控函数对JNI进行监控；使用所述监控函数识别调用者身份，在VMP壳执行过程中，利用Android系统的调用栈得到VMP壳当前正在执行的被保护函数的ArtMethod对象，进而得到这个被保护函数的监控信息；将所述监控信息进行线性组合，还原被保护代码的原始语义。本发明在还原Android软件中的受VMP保护代码方面具有弱先验数据依赖、自动化、高效性，可以大大降低恶意软件分析的工作量。

公开(公告)号：CN117055953A

公开(公告)日：2023-11-14

申请号：CN202311013643.5

申请日：2023-08-11

Applicant: 广州大学

Inventor： 田志宏 ,  唐鹏威 ,  鲁辉 ,  杨南顺 ,  孙彦斌 ,  刘昊 ,  苏申 ,  仇晶 ,  徐光侠 ,  刘园 ,  姜誉 ,  李默涵 ,  张乐君

IPC: G06F8/74 ,  G06F8/41 ,  G06F9/448

Abstract: 本发明公开了一种面向安卓系统脱壳环境下的追踪方法及系统，包括：S1、目标指令复制及修复，执行修复后的目标指令；S2、目标指令执行结束后对执行环境保护；S3、打印执行结束后目标指令或寄存器信息；S4、选择插桩时机，完成追踪。本发明可以实现面向安卓系统脱壳环境下的追踪。