🗒️基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper

eBPF作为运行在内核的的一大追踪利器,其有着隐蔽性高,不需要重新编译内核或系统等优点。而在Android平台中,字节码主要在ART虚拟机中被执行,那么其实只需要追踪ART虚拟机执行过程中的一些关键函数即可被动的捕捉到DexFile,从而实现脱壳。因此实现此小Demo,旨在抛砖引玉。 该工具可作为FRIDA-DEXDump等被动式脱壳工具的替代,并且有着更好的隐蔽性,完全不需要PTRACE附加调试目标程序或注入动态链接库。但是由于eBPF的局限性,其无法替代FART等基于主动调用的脱壳工具。除此之外,对于代码抽取等情况并未实现,各位大佬有需要可以自行实现。
LLeaves
LLeaves
Happy Hacking
最新发布
Uprobe及其对抗
2025-3-4
CVE-2021-0928漏洞分析
2025-3-2
ByteDance-AppShark静态分析工具
2025-3-2
Android 悬浮窗覆盖攻击
2025-3-2
基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper
2025-2-28
Zygisk源码分析
2025-2-27
公告