首页
论坛
课程
招聘
[原创]X加密-反调试-DumpDex-修复指令-重打包
2019-2-27 03:45 15299

[原创]X加密-反调试-DumpDex-修复指令-重打包

2019-2-27 03:45
15299

1.简介

如果有描述不准确的地方,还请各位大佬指正

某加密的最近的版本,网上资料比较少,是比较早的,没有混淆的,以及没有指令抽取的

这里分析的实例,是某加密直接把壳代码写到了原始dex里面去



    1)反调试     网上的大部分资料都是些基础的反调试,而且SO是没有经过ollvm混淆的,所以都是些比较直观的能看到代码

                      而现在大部分是ollvm混淆过,另外加UPX压缩壳,以及SO自解密等

    2)dump dex,另一种找到dex.035的地址

    3) 修复被抽取指令,找到codeitem的insns指针,取出指令,填充到被nop的dex里面去 

    4) 重打包APK 应该是做了对抗dex2smali,无法转回去,不过有办法

2. 调试

先看看Application

// 各家的壳都类似, attach和onCreate做初始化工作

  protected void attachBaseContext(Context arg6) {
        // some code 

         调用2个native方法初始化壳,以及hook相关还原函数
        N.l(((Application)this), "com.dmy.jiagushell");
        N.r(((Application)this), "android.app.Application");
   }

    public void onCreate() {
     // some code
      调用真正apk的Application
       N.ra(((Application)this), "android.app.Application");
            if(S.n != null) {
                S.n.onCreate();
            }
    }

这个样本解压开虽然直接能看到dex,但是还是通过调试dump了一次,这样可以了解一下反调试


SO被ollvm混淆了,看起来很费力,所以都是从一些关键点下断点去调试和绕过


1-反调试

关于反调试,有文章介绍了17中反调试,可以参考一下,现有资料博客能搜到的反调试,就这几种

      时间检测,  检测status,检测ida端口,以及java层的反调试

但是现在的壳已经不止这几种了,多而杂,现在常见的信号反调试,以及断点检测就比较麻烦


可以参考   IDA技巧 这位大神的方法,定位到initarray段的入口,和进入jni_onload的地址,


1.1  信号反调试,常识性的反调试,可以在bad_signal下断

 信号函数通常是      signal(SIGN_NO, antidebug_func)



跟进去看看 0xB388D391所在的函数内容,这个函数要在解密后才可以看到,就是获取pid,杀死



信号1,2,3的定义是

       

SIGHUP     终止进程     终端线路挂断
SIGINT     终止进程     中断进程
SIGQUIT   建立CORE文件终止进程,并且生成core文件      

绕过方法就是,signal注册信号函数的时候,吧函数地址改为0,让他注册失败


1.2

进入到initarray段的时候,会有很多个函数,我的做法是通常跳过,如果某一次跳过崩了,就进去找反调试

,就是这里的BLX R4,是循环进入initarray段内的函数



fget断点后看到status检测,修改为0即可,后面还会遇到检测,应该是检测了多次,可以用hook过掉,或者IDA直接手动改掉端口号


然后转换为数字 ,这个比较简单直接改掉字符串就行。


1.3 时间反调试,通常就是检测代码运行时间,暴力一点,R0保存的传入的参数,tm所以直接写0

 

struct timeval tm;

gettimeofday(&tm, NULL);




时间反调试是status检测是在同一函数内,这个结构看起来比较费力,而且比较多的是无效的if语句,还是找找汇编的关键点来的快


1.4 在application的几个native函数

找前面提到的java函数注册为native函数的地址 



看R2指针数据 是结构体,也就是0xBEE221E0

typedef struct {
const char* name;
const char* signature;
void* fnPtr;
} JNINativeMethod;


对应结构体,BEE221C8地址处就是函数名称,bee22198就是方法签名,可以看下面2张图

  也就是在java层的attachBaseContext中的第一个 


则be867090就是壳的第一个执行java层native函数



到第二个函数,这个点不像其他的  status是检测端口,时间是检测运行是否过长,以及信号注册函数

猜测可能是一个全局变量,存在这里,然后有我还没有发现的检测点,然后后面在判断这个全局变量(不知道这个解释是否合理)

如下图是运行到N.r这个里面进去

 

 就是这里的N.r这是个native函数,又一次检测,通过计算在调试的时候 上一步的地方 ,也就是0xB38ABC38  看出是在比较这个地址的值,不明白是什么检测方式,反正到这里下一句被崩,所以改了下寄存器先绕过吧


这里的反调试可能在检测一个全局变量


反调试可能还有检测断点的,偶尔会崩掉,这里请教下各位大佬,怎么快速定位检测断点的反调试


2.1  关于dumpdex,其实可以dump的点很多,我选择defineclass位于classlinker里面

是以为他的第三个参数是java类对应的签名就是哪个  env->FindClass的那个参数

由此可以判断此时加载的这个类是位于北加固的dex里面的,顺着这个地方可以找到DEX



根据这个参数可以找到dex


接下来, 看源码可以知道,第5个参数是dex引用,多余的参数在栈里,计算好地址 + 4 进去就是dex引用地址,然后这里比较奇怪的是dex的这个地址要加上4就能找到dex.035字符了,反正是加固前的DEX找到了,这里还要再琢磨下


这里看栈上的数据 aa73a0f0


   按说这个就是dex的地址了,但是这里需要加上4个字节才是真实的地址 也就是去b3aa9218,





往后20个字节是DEX的长度,好了直接dump

上脚本


import struct 

start = AskAddr(0xb3aa9218 , "start address:")
print "start address:%08x"%(start)
length = AskLong(0x3d98, "length:")
print "length:%d"%(length)

dump_so = "/Users/beita/Desktop//ijiami.dump.dex"
file = open(dump_so,'w')
file.close()
fn = AskStr(dump_so ,"save as:")
with open(fn,"wb+") as f:
    for addr in range(start , start+length):
        f.write(struct.pack("B" , Byte(addr)))
    print "success to save as " 

(绕过  部分反调试 ,因为这里的反调试我找到的不是所有的)   此时dump出来的是方法体是空的


4. 修复
   修复的,网上资料都能通用,我是编译源码直接写回DEX的,起始就是找到Method指针,然后取出insns的二进制,写回去就好了
我是改4.4的源码,因为小一点编译快一些
先看看被抽的dex  ,指令都是空的,


// 如下是代码片段

// 在dvmResolveClass中过滤下方法名称
DexClassData *classData = dexFindClassData(pDvmDex->pDexFile, clsObj->descriptor);  
if(classData ==NULL) return;
// 里面的 dexFindClassData 直接调用就可以
for(u4 i = 0; i < classData->header.directMethodsSize; i++){ 
    
    Method *method = (Method *)(clsObj->directMethods + i);
	if(method == NULL || classData->directMethods ==NULL) continue; 

	DexMethod *dexMethod = classData->directMethods + i;    
	if(dexMethod == NULL || dexMethod->codeOff == 0) continue;
	const DexCode *code = (const DexCode *)(pDvmDex->pDexFile->baseAddr + dexMethod->codeOff);
	if(code == NULL) continue; 		  
 
    std::string insns_str;
    for(u4 k=0; k < code->insnsSize; k++){
		char tmp[32];
		// method->insns就是要回复的指令
        sprintf(tmp, "%04x ", method->insns[k]); 
		insns_str.append(tmp); 
    }
	// 用字符串拼接起来
}



还原前后




5.重打包 


我发现修复后的dex不能直接转smali,因为里面有 x加密加入的一些壳代码,

用d2j-dex2smali.sh吧修复的转成smali,然后删除那部分可代码,发现dex2smali会出错


解决办法:直接把修复的dex放进去先APKTOOL打包一下,然后把打包好的APK在 apktool d demo.apk 

这样就能转smali,方法比较简单,然后再打包就可以了

,经过测试运行是可以的,说明重打包方式有效,不过我觉得这里的原因可能是d2j-dex2smali的问题,apktool本身里面有转smali的工具,好在能解决这个问题


样本在后面的附件里



-----------------------------------------------------------------------------------------------------------------------------------------------------

sodump出来的so进行分析比较简单,感谢ThomasKing的dump ,快速下断点过反调试,我感觉我没有吧反调试都找出来,只是找出了dump DEX的那部分,先分析到这里


如下偏移处

0x717c     0xd380    0x10cac  0x10cac 都是结束的地方

有很多无效判断来干扰分析,比如 这种代码,在汇编中会有很多看着蛋疼的地方

int x = 1;

if(x!= 1 && x==1) {}


还有花指令 


参考 :

https://bbs.pediy.com/thread-194053.htm

 https://bbs.pediy.com/thread-221876.htm



 



5  是不是加固会检测如果一个DEX比如类比较少,或者体积非常小,就不进行加密DEX,(加固厂商判断这是个测试APK???),加固后直接在原来的基础上加进去了ProxyApplication部分代码呢





[公告]名企招聘!

最后于 2019-2-27 04:14 被贝a塔编辑 ,原因:
上传的附件:
收藏
点赞10
打赏
分享
打赏 + 10.00
打赏次数 2 金额 + 10.00
 
赞赏  Editor   +5.00 2019/02/27 精品文章~
赞赏  junkboy   +5.00 2019/02/27 感谢分享~
最新回复 (34)
雪    币: 10942
活跃值: 活跃值 (56)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
junkboy 活跃值 2019-2-27 08:08
2
0
支持
雪    币: 351
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
五天 活跃值 2019-2-27 08:55
3
0
辛苦,谢分享
雪    币: 183
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
opnlight 活跃值 2019-2-27 09:37
4
0
感谢!
雪    币: 27
活跃值: 活跃值 (119)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bluth 活跃值 2019-2-27 10:14
5
0
确实,包括基本上能搜到的脱壳的资料都很少提到信号反调试这块的
雪    币: 15731
活跃值: 活跃值 (12001)
能力值: (RANK:75 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2019-2-27 10:21
6
0
 厉害!
雪    币: 5826
活跃值: 活跃值 (739)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
黑洛 活跃值 1 2019-2-27 12:05
7
0
很强。随着手机性能过剩,以后移动端也不太好混了,代码变形会越来越厉害。
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
邓dg 活跃值 2019-2-27 12:55
8
0
安卓编程有VC  _asm{}功能吗  直接运行DEX里面的代码
雪    币: 36
活跃值: 活跃值 (179)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
芃杉 活跃值 2019-2-27 17:46
9
0
mark 厉害
雪    币: 10
活跃值: 活跃值 (163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
暴强 活跃值 2019-2-28 07:54
10
0
这个可是好东西,正好学习下!
雪    币: 453
活跃值: 活跃值 (1351)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bbsshop 活跃值 2019-2-28 10:07
11
0
mark
雪    币: 39
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lishangdi 活跃值 2019-2-28 11:17
12
0
很棒感谢大佬分享
雪    币: 342
活跃值: 活跃值 (18)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
DegerYang 活跃值 2019-2-28 12:16
13
0
雪    币: 162
活跃值: 活跃值 (121)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
koflfy 活跃值 1 2019-2-28 12:52
14
0
mark
雪    币: 55
活跃值: 活跃值 (416)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
龙飞雪 活跃值 2019-2-28 18:02
15
0
支持
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
艺术大师 活跃值 2019-3-1 10:30
16
0
支持
雪    币: 595
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DDiM 活跃值 2019-3-7 18:31
17
0
看分析是自定义rom,然后还原了类抽离加密,这是某密的企业版本么,我看他们的官网免费版就是这样子的。
雪    币: 398
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
没图你说个图 活跃值 1 2019-3-8 14:16
18
1
找了一下 dvmResolveClass 这里修复指令的资料,说是发现被加固的 app 在这里还原代码,所以在这里添加代码就能修复;
但是对于那些没在这里修复的,可能就要找其他位置;
我觉得,对于修复来说,怎么找这个还原的位置才是重点。

或者,源码中是否存在一个点,可以不用考虑这个位置,在那个位置的时候指令代码肯定已经解密了,这里还需要自己研究,应该也是可以找到的。
雪    币: 6
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
sunlulu 活跃值 1 2019-3-27 19:57
19
0
mark
雪    币: 244
活跃值: 活跃值 (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kinglinzi 活跃值 2019-6-15 22:18
20
0
感谢大佬分享
雪    币: 364
活跃值: 活跃值 (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陈某人 活跃值 2019-6-17 14:22
21
0
学习学习
雪    币: 109
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_pslillqf 活跃值 2019-6-18 17:22
22
0
需要加固的可以私信哟
雪    币: 241
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
THT-EX 活跃值 2019-6-22 00:05
23
0
学习学习
雪    币: 220
活跃值: 活跃值 (227)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
奋斗der小鸟 活跃值 2019-8-19 09:51
24
0
研究一下
最后于 2019-8-19 10:05 被奋斗der小鸟编辑 ,原因:
雪    币: 37
活跃值: 活跃值 (256)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cydian 活跃值 2019-8-23 07:54
25
0
学习了
游客
登录 | 注册 方可回帖
返回