吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.kvamco.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 7777|回復: 77

[Android 脫殼] 某加固的嘗試(一)

  [復制鏈接]
straceme 發表于 2019-10-12 10:44
本帖最后由 straceme 于 2019-10-12 11:17 編輯

1. 一次加固分析
由于要做測試,通過分析發現該應用加固了。該加固并不常見。嘗試進行脫殼
1.1. 樣本信息
包名:com.xxx.jincheng
應用名稱:某某銀行
版本信息:3.0.8
MD5值:d0c5c54ca31ebcfa4834ebe7ecb23539

1.2. 初步分析
通過殼java層代碼發現此加固的核心代碼在libvdog.so中,其中libvdog.so文件的elf文件魔數被修改了, 殼代碼會在寫文件時將文件還原回去,如下:

圖片1.png

圖片2.png
直接用010editer把魔數改稱 7F 45 4C 46 即可,此時文件libvdog.so可以使用IDA進行分析。在使用ida 打開文件過程中會發現,存在錯誤提示如下:

圖片3.png

這說明libvdog.sosection信息已經被處理了,使用010Editer工具分析elf文件結構

圖片4.png

但不影響分析。由于此動態庫的導出函數可以判斷,這so文件應該是一個自定義的linker文件。

圖片5.png
接下來就需要分析,真正的so代碼數據存儲在哪里,通過初步查看發現so函數已經混淆了。

圖片6.png

手動調試幾乎不可能,幾乎所以函數都進行了代碼膨脹。
不過有一點還是可以慶幸的就是libvdog.so的字符串并未進行混淆,
詳細分析該這so文件,代價太高了!!!,代先不進行分析,先進行整體dump。看看能拿到多少代碼。
1.3. dex文件整體dump

dex文件整體dump有很多辦法,也有很多點,可以通過獲取到所有dexcookie,然后找到dex文件地址,也可以直接對關鍵函數進行攔截,我選擇了DexFileLoader::OpenCommon這個點(android 10),其他版本的機器不確定有沒有這個函數,直接hook。函數如下:

圖片7.png

Dump 得到的dex文件如下:

圖片8.png

使用JEB查看,通過分析發現基本上可以獲取的所有的代碼,
圖片9.png
圖片10.png

到這里基本上就可以正常分析了
通過查看發現。還有一部分代碼不被抽取了。大概特征如下:

圖片11.png
1.4. 抽取函數破解嘗試
怎么還原這些被抽取的函數。嘗試在工具dexhunter,然并卵。并沒有什么用處。代碼邏輯還是沒還原。嘗試分析其smali代碼邏輯。
圖片12.png
猜測,通過i1函數進行還原。上面nop代碼,然后在執行真正代碼邏輯。這樣的好處,當運行到某個函數時候代碼才會還原。關鍵點在i1函數中,
可以通過兩個方面進行解決

1. 直接分析i1函數,然后進行還原
2. 使用開源方案開源的方案的方案。

通過虛擬機主動加載類函數。是個不錯的思路。https://bbs.pediy.com/thread-252630.htm可以直接按照這個思路,
對虛擬機進行修改。具體的細節后面整理完在開源,坑有點多還原前后代碼對比
還原前:
圖片13.png
還原后:
圖片14.png
直接分析i1的方式還沒時間完成分析。工作量太大。
1.5. 自定義dex解釋器代碼還原
搜索發現,所有的onCreate方法代碼邏輯都被替換掉了,開始以為是抽取的后來發現不是。
代碼如下:
圖片15.png
通過hook 簡單驗證了下;
發現當運行時會調用JNI(Java Native Interface)的接口執行代碼邏輯。
由于分析詳細過程可能會涉及的加固的核心利益,暫不進行分享。
大概思路,使用libdexfile這個庫,對dex文件進行拆分,然后新建一個codeItem
圖片16.png
對代碼進行還原。
中間涉及了太多。后面有機會進行分享。還原后的代碼如下:
圖片17.png
1.6. 修復后的dex下載
下載: https://www.lanzous.com/i6pnm1c 密碼:4jxk
由于時間問題,很多的細節,都沒寫,后面將會將具體細節分享出來。

2. 參考以及使用工具
2.1. 代碼
l Android Open Source Project(libdexfile) https://android.googlesource.com/platform/art/+/master/libdexfile/
l PLT hook: https://github.com/iqiyi/xHook
l inlineHook https://github.com/jmpews/HookZz
2.2. 工具
l IDA Pro
l Clion
l 010editer

2.3. 腳本
l 010Editer elf文件腳本:https://raw.githubusercontent.com/strazzere/010Editor-stuff/master/Templates/ELFTemplate.bt   

免費評分

參與人數 33吾愛幣 +36 熱心值 +33 收起 理由
zuoking991 + 1 + 1 [email protected]
bianfanggege + 1 + 1 謝謝
云上天堂 + 1 支持,感謝
鶴舞九月天 + 1 + 1 [email protected]
0xxx + 1 + 1 我很贊同!
糖粒er + 1 + 1 [email protected]
不愛everyone + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
hjw45611 + 1 + 1 熱心回復!
Spareks + 1 + 1 用心討論,共獲提升!
you920928 + 1 + 1 [email protected]
yaoyao7 + 1 + 1 我很贊同!
安尼大大 + 1 + 1 我很贊同!
N0LL + 1 + 1 [email protected]
llm4041 + 1 + 1 看蒙了,真牛批
飛龍Test + 1 + 1 [email protected]
JuDei + 1 + 1 熱心回復!
禾水木 + 1 + 1 熱心回復!
lookerJ + 1 + 1 用心討論,共獲提升!
fcguo800 + 2 + 1 沒得說,關注支持大佬分享。
sunnylds7 + 1 + 1 熱心回復!
AnonymousQsh + 1 + 1 用心討論,共獲提升!
丶咖啡貓丶 + 1 + 1 [email protected]
thinkpad_420 + 1 + 1 我很贊同!
shun + 1 + 1 plus
莫流云 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
dreamlivemeng + 1 + 1 用心討論,共獲提升!
一人之下123456 + 1 用心討論,共獲提升!
XhyEax + 3 + 1 熱心回復!
mrsdz + 1 + 1 熱心回復!
jiajs + 1 + 1 我很贊同!
abc2342537 + 1 + 1 我很贊同!
Gentlewang + 3 + 1 支持一下技術大佬!
cxp521 + 1 + 1 流弊,流弊

查看全部評分

本帖被以下淘專輯推薦:

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

Hmily 發表于 2019-10-12 12:59
看那個運行到加密地方解碼后再執行,完事再加密很像windows時期很多殼如TMD的sdk里那種SMC的加密方式,看起來都照搬到安卓里了。
 樓主| straceme 發表于 2019-10-15 09:44
雪一夢 發表于 2019-10-12 15:00
樓主你好:
“使用libdexfile這個庫,對dex文件進行拆分,然后新建一個codeItem類”
這一塊我看repairVMP ...

libdexfile 將dex文件拆分開,然后通過repairVMPCode 進行修復,后面有空將文章發出來,這里直接將文件解密后拿到的。
cxp521 發表于 2019-10-12 11:00
Vincent-HJ 發表于 2019-10-12 11:30
雖然看不懂,但是覺得很流弊~
thinkpad_420 發表于 2019-10-12 11:38
好厲害,算是開眼界了
zg2600 發表于 2019-10-12 11:40
我成功了呢
Rolanju 發表于 2019-10-12 11:46
先收藏再說
風繞柳絮輕敲雪 發表于 2019-10-12 11:53
愛加密?
shelly1314 發表于 2019-10-12 12:28
感謝樓主分享
一人之下123456 發表于 2019-10-12 12:51
感覺很厲害的樣子,向大佬學習。
duduhao 發表于 2019-10-12 12:52
學習了,謝謝樓主的好分享
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-12-12 01:18

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
3d开机号今天