一种dex文件抽取方法、系统及终端设备与流程

本发明属于计算机技术领域，尤其涉及一种dex文件抽取方法及终端设备。

背景技术：

计算机软件反向工程(reverseengineering)也称为计算机软件还原工程，是指通过对他人软件的目标程序进行“逆向分析、研究”，以推导出他人的软件产品所使用的设计思路、原理、结构、算法、处理过程、运行方法等设计要素，某些特定情况下可能推导出源代码。

加壳作为应用程序的安装包(apk)的一种加固手段，能够保护原始程序，加壳后的应用程序安装包采用普通的反编译工具对其进行反编译，反编译出来的仅仅是壳的代码。加壳的一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是隐藏程序真正的入口，防止被破解。抽类壳是android移动端上应用程序加固手段的一种，通过将类的具体代码进行抽取，在还没运行应用程序时不对dex文件进行加载，只有在运行应用程序时才重新加载dex文件，以避免在dex2oat转换过程中被抽取dex文件。

脱壳即去掉应用程序所加的壳，对于加了抽类壳的应用程序，通过传统的脱壳手段进行脱壳时，只能得到类名，而无法获取到完整的原始程序。

技术实现要素：

有鉴于此，本发明实施例提供了一种dex文件抽取方法、系统及终端设备，以解决对于加了抽类壳的应用程序，通过传统的脱壳手段进行脱壳时，只能得到类名，而无法获取到完整的原始程序的问题。

本发明的第一方面提供了一种dex文件抽取方法，包括：

监测应用程序是否启动；

若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取所述完整的dex文件。

本发明的第二方面提供了一种dex文件抽取系统，包括：

监测模块，用于监测应用程序是否启动；

注入模块，用于若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取模块，用于抽取所述完整的dex文件。

本发明的第三方面提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

监测应用程序是否启动；

若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取所述完整的dex文件。

本发明的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

监测应用程序是否启动；

若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取所述完整的dex文件。

本发明提供的一种dex文件抽取方法、系统及终端设备，通过改变应用程序的运行机制，在监测到应用程序启动时，注入被抽类壳抽取的底层代码，以加载完整的dex文件，并将完整的dex文件进行抽取，就能够获取到该应用程序完整的原始程序，有效地解决对于加了抽类壳的应用程序，通过传统的脱壳手段，只能得到类名，而无法获取到完整的原始程序的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种dex文件抽取方法的实现流程示意图；

图2是本发明实施例二提供的对应实施例一步骤s101的实现流程示意图；

图3是本发明实施例三提供的对应实施例一步骤s102的实现流程示意图；

图4是本发明实施例四提供的一种dex文件抽取系统的结构示意图；

图5是本发明实施例五提供的对应实施例四中监测模块101的结构示意图；

图6是本发明实施例六提供的对应实施例四中注入模块102的结构示意图；

图7是本发明实施例七提供的终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、系统、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明实施例为了解决对于加了抽类壳的应用程序，通过传统的脱壳手段进行脱壳时，只能得到类名，而无法获取到完整的原始程序的问题，提供了一种dex文件抽取方法、系统及终端设备，通过改变应用程序的运行机制，在监测到应用程序启动时，注入被抽类壳抽取的底层代码，以加载完整的dex文件，并将完整的dex文件进行抽取，就能够获取到该应用程序完整的原始程序，有效地解决对于加了抽类壳的应用程序，通过传统的脱壳手段进行脱壳时，只能得到类名，而无法获取到完整的原始程序的问题。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一：

如图1所示，本实施例提供了一种dex文件抽取方法，其具体包括：

步骤s101：监测应用程序是否启动。

需要说明的是，本实施例是针对加了抽类壳的安卓应用程序包(androidpackage，apk)的dex文件的抽取。dex文件是安卓应用程序包上的可执行文件，是运行程序时的执行代码。加了抽类壳的应用程序会先将类的具体代码抽取出去，在还没有运行应用程序时，不对类的具体代码进行加载，当运行应用程序时才重新加载dex文件中类的具体代码，即将运行应用程序时的具体执行代码抽取出来，只剩下类名。

在实际应用中，当要启动运行应用程序时，系统会发送启动指令至应用程序以控制该应用程序启动运行。

在具体应用中，通过钩子框架实时监测应用程序是否启动，具体的，通过钩子框架下设置子线程以监视系统是否发出启动指定的应用程序的启动指令。

需要说明的是，钩子框架(hook框架)是消息处理机制的一个平台，通过在钩子框架中设置子程可以监视指定窗口的某种消息，钩子框架可以截获指定的消息，在该消息还在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子程序先得到控制权。因此，通过钩子框架可以在系统发出启动指令，该启动指令还未到达该应用程序之前，先截获该启动指令，以此来监测出该应用程序是否启动。

步骤s102：若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件。

需要说明的是，上述被抽取的底层代码是指被抽类壳抽取的底层代码，即dex文件中类的具体代码。上述原有代码是指没有被抽取的代码，即dex文件的类名。

在具体应用中，通过钩子框架监测到应用程序启动时，运行钩子程序，加载被抽类壳抽取出去的底层代码，将注入的底层代码与原有代码整合形成完整的dex文件。

在具体应用中，抽类壳抽取的是dex文件中类的具体代码，而原有代码为类名。在运行钩子程序时，加载的底层代码即为dex文件中类的具体代码，将dex文件中类的具体代码注入到dex文件的类名中，就能够得到完整的dex文件。

需要说明的是，上述加载底层代码和将底层代码注入到原有代码中是通过运行钩子程序实现的。

在具体应用中，通过钩子插件机制设置钩子插件，实现监测到应用程序启动时，运行钩子程序，改变应用程序的运行机制，加载被抽取掉的底层代码，并将加载的底层代码注入到原有代码中，获取完整的dex文件。

需要说明的是，钩子插件将钩子程序的代码融入到被钩住的进程中，成为目标进程的一部分，因此，能够有效地避免反钩子机制检测到钩子程序而进行拦截。

步骤s103：抽取所述完整的dex文件。

在具体应用中，在将被抽类壳抽取的底层代码加载并注入后获取到的完整的dex文件后，将完整的dex文件进行抽取，就能获取到内容不为空的dex文件。

在具体应用中，上述抽取完整的dex文件也是由钩子程序进行的，当dex文件抽取完成后，钩子插件完成进程，应用程序的启动进程得到控制权，正常启动和运行该应用程序。

需要说明的是，完整的dex文件就是androiddalvik运行应用程序时的执行程序。

在一个实施例中，在上述步骤s103之后，还包括以下步骤：

步骤s104：通过对所述完整的dex文件进行反编译，推算所述应用程序的设计要素。

在具体应用中，通过完整的dex文件就能获取该应用程序的执行程序，通过对其进行反编译，就能够推算出该应用程序的设计要素，需要说明的是，上述设计要素包括：设计思路、算法结构和运行过程。

在具体应用中，上述推算出该应用程序的设计要素过程为：通过利用反汇编工具将dex文件把转成jar文件，再将jar文件转换成java代码，获得androidmanifest.xml文件和java源代码，在androidmanifest.xml文件中获得源码的元信息(包括activity、service等注册信息和入口)。经过对java源代码和元信息进行词法语法分析后得到抽象语法树(ast)，再基于抽象语法树得到源码的控制流图和数据流图以及函数调用图，根据源码的控制流图和数据流图以及函数调用图就能明确应用程序的设计思路、算法结构及运行过程。得到的源码的控制流图和数据流图以及函数调用图可以文件的形式进行存储。

在具体应用中，可以通过现有的反编译软件、反编译工具来对上述完整的dex文件进行反编译，以获取对应的应用程序的设计要素，具体的反编译过程在此不加以赘述。

本实施例提供的dex文件抽取方法，通过改变应用程序的运行机制，在监测到应用程序启动时，注入底层代码，以加载完整的dex文件，并将完整的dex文件进行抽取，就能够获取到该应用程序完整的原始程序，有效地解决对于加了抽类壳的应用程序，通过传统的脱壳手段，只能得到类名，而无法获取到完整的原始程序的问题。

实施例二：

如图2所示，在本实施例中，实施例一中的步骤s101具体包括：

步骤s201：通过钩子框架监测应用程序的运行启动情况，获取监测信息。

在具体应用中，每一个钩子框架都有一个与之相关联的指针列表，称之为钩子链表。这个链表的指针指向指定的被监测的应用程序，被钩子子程调用的回调函数，也就是该钩子的各个处理子程序。当与指定的钩子关联的消息发生时，系统就把这个消息传递到钩子子程。

在本实施例中，在钩子框架中设置监测指定应用程序是否启动的钩子程序，一旦监测到应用程序启动，则执行钩子程序。

在具体应用中，通过钩子框架监测应用程序的运行启动情况具体是通过钩子框架获取监测信息，所述监测信息为监测系统是否发出启动应用程序的启动指令，或监测系统是否接收到应用程序反馈的启动信息。

步骤s202：根据所述监测信息判断所述应用程序是否启动。

在具体应用中，上述监测信息包括监测到系统发出启动应用程序的启动指令和监测到系统未发出启动应用程序的启动指令。

在具体应用中，上述根据监测信息判断应用程序是否启动，包括：当监测信息为监测到系统发出启动应用程序的启动指令时，应用程序会根据该启动指令启动并运行该应用程序，则判断该应用程序已启动。当监测信息为监测到系统未发出启动应用程序的启动指令时，应用程序由于没有接收到启动指令，因此不会启动并运行该应用程序，则判断该应用程序未启动。

在具体应用中，上述监测信息包括：监测到系统接收到应用程序反馈的启动信息和监测到系统未接收到应用程序反馈的启动信息。

在具体应用中，上述根据监测信息判断应用程序是否启动，包括：当监测到系统接收到应用程序反馈的启动信息，则判断该应用程序已启动。当监测到系统未接收到应用程序反馈的启动信息，则判断该应用程序未启动。

在本实施例中，通过钩子框架实时监测应用程序的启动情况，通过分析监测信息判断应用程序是否启动，实时监测应用程序的启动情况。进一步的，可以通过钩子插件机制钩子插件设置，通过钩子插件将钩子程序的代码融入到被钩住的进程中，成为目标进程的一部分，有效地避免反钩子机制检测到钩子程序而进行拦截。

实施例三：

如图3所示，在本实施例中，实施例一中的步骤s102具体包括：

步骤s301：若监测到所述应用程序启动，则运行钩子程序，加载被抽类壳抽取的底层代码。

在具体应用中，一旦钩子插件监测到该应用程序已经启动，则通过运行钩子程序，改变原有的运行机制，先将被抽类壳抽取的底层代码进行加载，即将被抽类壳抽取的类的具体代码进行加载。

步骤s302：将所述底层代码注入dex文件的类名中，生成完整的dex文件。

在具体应用中，将加载到的底层代码注入到dex文件的类名中，即将加载到的类的具体代码注入到相应的类名中，则能够生成完整的dex文件。完整的dex文件是指运行应用程序时的执行程序，主要包括类名以及类的具体代码。

需要说明的是，上述加载被抽取的类的具体代码与正常运行应用程序时的加载过程相同，都是可以通过根据文件头header中定义的结构的偏移地址和长度信息进行寻址解析，将其它结构中的数据加载分别加载到内存中。

在一个实施例中，在上述步骤s301之前，还包括以下步骤：

步骤s303：反编译所述抽类壳，获取dex文件的类名。

在具体应用中，通过对加了抽类壳的应用程序进行反编译，也就是对抽类壳进行反编译后，就能获取到该应用程序的dex文件中的类名。

本实施例只是改变加载被抽取的类的具体代码的时机，即在应用程序运行前加载被抽取的类的具体代码，并将类的具体代码对应注入到类名中，就能在启动应用程序时，获取到完整的dex文件，以便抽取到完整的dex文件。

实施例四：

如图4所示，本实施例提供一种dex文件抽取系统100，用于执行实施例一中的方法步骤，其包括监测模块101、注入模块102以及抽取模块103。

监测模块101用于监测应用程序是否启动；

注入模块102用于若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取模块103用于抽取所述完整的dex文件。

在一个实施例中，上述dex文件抽取系统100还包括推算模块。

上述推算模块用于通过对所述完整的dex文件进行反编译，推算所述应用程序的设计要素。

需要说明的是，本发明实施例提供的dex文件抽取系统，由于与本发明图1所示方法实施例基于同一构思，其带来的技术效果与本发明图1所示方法实施例相同，具体代码可参见本发明图1所示方法实施例中的叙述，此处不再赘述。

因此，本实施例提供的一种dex文件抽取系统，同样能够通过改变应用程序的运行机制，在监测到应用程序启动时，注入底层代码，以加载完整的dex文件，并将完整的dex文件进行抽取，就能够获取到该应用程序完整的原始程序，有效地解决对于加了抽类壳的应用程序，通过传统的脱壳手段进行脱壳时，只能得到类名，而无法获取到完整的原始程序的问题。

实施例五：

如图5所示，在本实施例中，实施例四中的监测模块101包括用于执行图2所对应的实施例中的方法步骤的结构，其包括信息获取单元201和判断单元202。

信息获取单元201用于通过钩子框架监测应用程序的运行启动情况，获取监测信息。

判断单元202用于根据所述监测信息判断所述应用程序是否启动。

实施例六：

如图6所示，在本实施例中，实施例四中的注入模块102包括用于执行图3所对应的实施例中的方法步骤的结构，其包括底层代码获取单元301和注入单元302。

底层代码获取单元301用于若监测到所述应用程序启动，则运行钩子程序，加载被抽类壳抽取的底层代码。

注入单元302用于将所述底层代码所述原有代码中，生成完整的dex文件。

在一个实施例中，上述注入模块102还包括反编译单元。

上述反编译单元用于反编译所述抽类壳，获取dex文件的类名。

实施例七：

图7是本发明实施例九提供的终端设备的示意图。如图7所示，该实施例的终端设备7包括：处理器70、存储器71以及存储在所述存储器71中并可在所述处理器70上运行的计算机程序72，例如程序。所述处理器70执行所述计算机程序72时实现上述各个dex文件抽取方法实施例中的步骤，例如图1所示的步骤s101至s103。或者，所述处理器70执行所述计算机程序72时实现上述系统实施例中各模块/单元的功能，例如图4所示模块101至103的功能。

示例性的，所述计算机程序72可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器71中，并由所述处理器70执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序72在所述终端设备7中的执行过程。例如，所述计算机程序72可以被划分为：监测模块、注入模块以及抽取模块，各模块具体功能如下：

监测模块，用于监测应用程序是否启动；

注入模块，用于若监测到所述应用程序启动，则加载被抽取的底层代码，并将所述底层代码注入到原有代码中以加载完整的dex文件；

抽取模块，用于抽取所述完整的dex文件。

所述终端设备7可以是桌上型计算机、笔记本、掌上电脑及云端管理服务器等计算设备。所述终端设备可包括，但不仅限于，处理器70、存储器71。本领域技术人员可以理解，图7仅仅是终端设备7的示例，并不构成对终端设备7的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器70可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器71可以是所述终端设备7的内部存储单元，例如终端设备7的硬盘或内存。所述存储器71也可以是所述终端设备7的外部存储设备，例如所述终端设备7上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。进一步地，所述存储器71还可以既包括所述终端设备7的内部存储单元也包括外部存储设备。所述存储器71用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器71还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述系统的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述无线终端中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的系统/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的系统/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，系统或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述设置为分离部件说明的单元可以是或者也可以不是物理上分开的，设置为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并设置为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或系统、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。