本文为看雪论坛精华文章
看雪论坛作者ID:GitRoy
此样本是年初本人拿到官网去加固,回来没有直接dump就直接分析了,可能是我的demo代码太少了,就一句log。分析了几天,发现这个样本没抽取,简单记录一下。文章中若有出错的地方,请大佬们指正,由于是没抽取的版本,可能有些校验之类的没有调试到。
一
对样本进行简单分析
Java层 先定位Application:
so层看一下:
调试了一段时间,发现和upx特征很相似,所以也按upx的通用方法进行脱壳,下面是修复so的方法。
二
so脱壳与修复
获取解压缩后的segment数据
断点:0xA38F0(mprotect)
进行dump被压缩的segment,第一个就是起始地址,第二个参数为被压缩的segment原大小。根据原大小和起始地址,可以dump出解压后的内容,然后本地进行修复。
本地修复
修复流程基本是固定的,主要就是把解压缩后的内容,填充回去,这边篇幅原因,修复之前已经写过了,就直接已资源的形式放到文章末尾了。关于最后函数的真实地址,可以直接断点linker执行init的时机(脚本里面有),F7后面就是原来so init函数的真实地址,可以选择性的修复回去。
修复后
三
搭建一个调试环境
1、我这里大概开2个IDA,一个用来打开修复后的so记录日志,另一个用来动态调试。
2、由于修复后的so没办法直接运行,所以只能直接动态调试原包,每次定位init_array。
3、快速定位上一次调试的地址。
4、对ITE指令做一些特殊的处理。
idapython也会在文章末尾给出。注:目前脚本中的偏移地址都是根据Android6.0.1来的。
四
init_array
init_array在修复后so的偏移sub_E4E8。
经过一段时间分析,没发现特别重要的,主要是做了一些初始化,比如libc中相关函数的初始化。
五
JNI_ONLOAD
简介
UPX修复好之后,JNI_ONLOAD已经暴露出来了,看一下代码执行流程图。
比较明显,加了不是很复杂的ollvm,IDA 7.5 F5后可以看到大致代码的逻辑,就是很多控制流平坦化,调试的时候比较耗时间。
字符串基本都是加密的,不过到时候用我的idb,已经都标注好了。
第一阶段
这个阶段主要是做初始化,例如初始化一些后面常用libc函数的地址,初始化一些后面会用到的私有目录、sdcard目录等等……,和一些兼容性的处理(根据不同的机型,不同的Android版本号)。
第二阶段
第二阶段是比较重要的一个阶段,主要做了一些动态注册Java层函数,与dex的初始化(包括拷贝assets,以及load到内存),hook一些系统函数的操作,下面详细介绍一下这个流程. 主要偏移从0x1EA1C开始。
注册Java层的native函数
注册基本都在sub_126BC函数中:
注册函数详情:
有个单独注册的函数
操作assets目录下的资源
定位偏移0x1F1F0
上面进行一系列校验后,下面就开始走copy流程了。
文件本地落地
执行好后,可以看到私有目录多了文件。
Hook一些函数
Hook API实现在pECFD6C6E0567ABA6034040D903F38908这个函数中
主要对libc、libart进行了hook。
例如:sub_33B08函数中libart下的hook:3art15DexFileVerifier6Verify、3art7DexFile10OpenMemory等。
sub_392E8函数中主要是libc相关的hook: write、read、mmap、munmap等。
加载dex
定位函数sub_15928
先构造path
JNI调用java层加载dex
java层的实现
加载后可以看到,dex已经到内存中了。
其实后面还有一些流程,但是一看没有抽取,发现自己这个版本不太对劲,瞬间没有动力分析下去了。
六
脱壳
由于没抽取,所以脱壳还是比较简单,这里说一句,本身用来加载的dex的落地文件是不规则的,个人猜测是通过fread和fwrite进行解密的,但是没去验证。
执行完sub_15928之后,对maps下classes.jar的地址进行dump就可以了。
七
一些检测
sub_17218:签名校验
sub_18DF4:Hook Android日志
sub_49794:检测FART
[2023年春季班]看雪安卓高级研修班 开启报名
课程大纲(不定期更新)
-
上述列出的两大计划、各八大专题及其包含的二十四个细目; -
专属班主任,敦促学习、鼓励士气;良好的抱团学习的氛围;
-
可以参加《安卓高级研修班》线下班,鼓励线下交流,与大佬谈笑风生;
-
注意2W班和3W班是完全独立噢,没有交集;
|
|
|
|
|
|
|
|
|
-
就业班附带包就业服务(须达到合同规定的毕业标准),签合同保证就业及薪资,达不到退全款;
-
就业班有入学考核,缴费成功后进入考核流程,考核不通过退全款;
-
考核流程会包括简历筛选、班主任和老师(电话)面试等环节;
-
强化班仅去除包就业服务,并且无入学考核,其余与就业班完全相同;
-
就业班与强化班一起授课,合计35人一个班,教学上不做任何区分。
-
《安卓高级研修班》全系列无任何金融计划,纯预付;无任何金融套路。
-
网络课程为虚拟商品,购买之前可以观看下述试看内容,购买成功之后不接受退款。
分类 |
链接 |
报名二维码 |
试看地址 |
网课月薪三万计划 |
https://www.kanxue.com/book-brief-84.htm |
||
网课月薪两万计划 |
|
课程顾问微信:r0ysue(备注“安卓高研网课”)
免责条款
以上所有宣传稿件内容均不作为服务承诺,最终以实际签订培训合同为准。
课程大纲与细目会根据教学反馈不断优化、调整与更新,实际授课可能与宣传主题略有不同;
# 十一月
# 十月
《dexvmp后的算法逆向分析和还原》
《使用unicorn对ollvm字符串进行解密》
《Frida追踪定Socket接口自吐游戏APK的服务器IP和地址》
Frida hook Java/Native与init_array 自吐最终方案 》
# 九月
《macOS安装调试llvm入门》
《fart的理解和分析过程》
《使用ollvm自定义简单的字符串加密》
《使用ida trace来还原ollvm混淆的非标准算法》
# 八月
# 七月
# 六月
从三道题目入手入门frida
单纯使用Frida书写类抽取脱壳工具的一些心路历程和实践
某聊天app的音视频通话逆向
# 五月
初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
# 四月
某抽取壳的原理简析
frida辅助脱壳
# 三月
看雪ID:GitRoy
https://bbs.kanxue.com/user-home-762912.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
原文始发于微信公众号(看雪学苑):APP加固分析之内存dump修复so、JNIOnload、动态注册、libc hook、文件读写、检测Fart