UC-Android逆向工程师面试第2题分析

最新推荐文章于 2024-03-21 19:24:21 发布
最新推荐文章于 2024-03-21 19:24:21 发布
阅读量5.6k 收藏 4
点赞数 1
分类专栏: Android安全比赛题目 文章标签: android 逆向移动安全 uc优视 面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/52133172
版权

博客链接:http://blog.csdn.net/qq1084283172/article/details/52133172

一、简介


这个题目是别人面试UC优视集团Android逆向工程师一职位的面试题,相比较前面的面试题1,增加了一些难度。




二、题目分析


1.使用JEB程序对UC-crackme-2.apk进行反编译分析,函数clacSnFuntion就是对用户输入的注册码进行校验的。




2.校验用户输入的用户名和注册码的函数clacSnFuntion是在Native层实现的,具体的实现在libclacSn.so库中。


3.在Native层,对注册码校验函数clacSnFuntion的实现进行分析,在IDA静态分析中发现Java_com_ucweb_crackme140522_MainActivity_clacSnFuntion函数中校验用户的注册码的具体函数CheckRegisterCode的代码被加密了是程序动态运行时在JNI_OnLoad函数中对该函数的代码进行解密的。





4.在JNI_OnLoad函数中,对加密的校验函数CheckRegisterCode的代码进行解密的过程,首先获取动态加载库"libclacSn.so"的内存映射地址,修改模块 "libclacSn.so"的内存保护属性,获取system/lib/libc.so库文件中的导出函数ptrace的调用地址对程序进行反调试(需要Nop调用),然后在"libclacSn.so"库文件的内存映射区中进行函数CheckRegisterCode的特征码的匹配寻找进行函数加密代码的定位,对用户注册码校验函数CheckRegisterCode的代码进行解密。












5.过掉获取system/lib/libc.so库文件中的导出函数ptrace的调用地址对程序进行反调试的方法是将函数ptrace的调用Nop调用即可。





6.校验函数CheckRegisterCode的代码解密函数DecryptDataOfAddressOffset_20140522的具体解密的实现。


7. 动态调试分析代码解压后的校验函数CheckRegisterCode的代码逻辑,需要代码解密的函数CheckRegisterCode的实际地址为A9B891B4。




8.来分析一下CheckRegisterCode函数的实现,函数CheckRegisterCode将获取到的用户手机DeviceId进行MD5加密算法处理然后和用户输入的用户名称进行计算得到最终用户需要输入的注册码,在函数memcmp处下断点即函数memcmp的第1个参数就是需要输入的注册码。








7.MD5算法的在ARM汇编下的典型特征:

在没有算法特征函数以及符号的情况下MD5函数的还是有着典型的特征的。




8. CheckRegisterCode函数的代码的还原。

signed int __fastcall CheckRegisterCode_A9B891B4(int lpIMEIBuffer, int lpUserNameBuffer, int lpRegSnBuffer)
{
  int i; // r4@1
  int nChkNumber; // lr@1
  signed int v5; // r11@1
  signed int v6; // r9@1
  int _lpUserNameBuffer; // r10@1
  void *hFileHandle; // r0@4
  void *_hFileHandle; // r4@4
  signed int result; // r0@5
  void *time; // r11@6
  unsigned int _nStrUserNameLenth; // r4@10
  int szIMEIBuffer; // r6@12
  int j; // r3@13
  int dwFirstIMEIBuffer; // r0@15
  MD5_CTX *lp_state; // r5@15
  unsigned int index; // r2@15
  unsigned int padlen; // r2@16
  int m; // r2@20
  int n; // r3@20
  char *lpRegUserBuff; // r5@22
  int k; // r4@22
  int v23; // r2@23
  int v24; // r3@23
  int _lpIMEIBuffer; // [sp+8h] [bp-4Ch]@1
  int _lpRegSnBuffer; // [sp+Ch] [bp-48h]@1
  int nStrUserNameLenth; // [sp+10h] [bp-44h]@1
  unsigned int nTime; // [sp+10h] [bp-44h]@12
  unsigned int nStrImeiLength; // [sp+14h] [bp-40h]@1
  int v30; // [sp+18h] [bp-3Ch]@1
  int v31; // [sp+1Ch] [bp-38h]@1
  int v32; // [sp+20h] [bp-34h]@1
  int v33; // [sp+24h] [bp-30h]@1
  int v34; // [sp+28h] [bp-2Ch]@1
  int v35; // [sp+2Ch] [bp-28h]@1
  int szFileNameBuffer; // [sp+30h] [bp-24h]@1
  int v37; // [sp+34h] [bp-20h]@1
  int v38; // [sp+38h] [bp-1Ch]@1
  int v39; // [sp+3Ch] [bp-18h]@1
  int v40; // [sp+40h] [bp-14h]@1
  int v41; // [sp+44h] [bp-10h]@1
  char lpTime[4]; // [sp+48h] [bp-Ch]@1
  int v43; // [sp+4Ch] [bp-8h]@1
  unsigned int t; // [sp+50h] [bp-4h]@6
  int szRegUserBuff; // [sp+54h] [bp+0h]@1
  MD5_CTX *state[4]; // [sp+154h] [bp+100h]@15
  int count[2]; // [sp+164h] [bp+110h]@15
  _DWORD szDecrypt_16[5]; // [sp+1ACh] [bp+158h]@15
  int v49; // [sp+1BCh] [bp+168h]@15
  int lpInt; // [sp+1C0h] [bp+16Ch]@1
  int v51; // [sp+1C4h] [bp+170h]@1
  int v52; // [sp+1C8h] [bp+174h]@1
  int v53; // [sp+1CCh] [bp+178h]@1
  int v54; // [sp+1D0h] [bp+17Ch]@1
  char bits; // [sp+1D4h] [bp+180h]@15
  int _nChkNumber; // [sp+1DCh] [bp+188h]@1

  i = 0;
  nChkNumber = (*_stack_chk_guard)[0];
  v35 = 0;
  v41 = 0;
  v31 = 0x1F314341;
  v37 = 0x103C2233;
  v32 = 0x20014131;
  v38 = 0xF61283B;
  v33 = 0x50423331;
  v39 = 0x1320363B;
  v34 = 0x11520E;
  v5 = 0x40081311;
  v6 = 0x3371601E;
  _lpIMEIBuffer = lpIMEIBuffer;
  _lpUserNameBuffer = lpUserNameBuffer;
  _lpRegSnBuffer = lpRegSnBuffer;
  _nChkNumber = nChkNumber;
  v40 = 0x5E2120;
  *(_DWORD *)lpTime = 0x503C0052;
  szFileNameBuffer = 0x40081311;
  v30 = 0x3371601E;
  v43 = 0;
  memset_0(&szRegUserBuff, 0, 0x100);           // 保存用户输入的注册码
  v51 = 0;
  v52 = 0;
  v53 = 0;
  v54 = 0;
  lpInt = 0;
  nStrImeiLength = Strlen(_lpIMEIBuffer);       // 获取设备机器码的字符串长度
  nStrUserNameLenth = Strlen(_lpUserNameBuffer);// 获取用户输入用户名的长度
                                                // 
  while ( 1 )                                   // 解密需要加载的库文件/system/lib/libc.so
  {
    *(int *)((char *)&szFileNameBuffer + i) = v6 + v5;
    i += 4;
    if ( i == 24 )
      break;
    v5 = *(int *)((char *)&szFileNameBuffer + i);
    v6 = *(int *)((char *)&v30 + i);
  }                                             // =========================================
                                                // 
  *(_DWORD *)lpTime = 'emit';
  hFileHandle = (void *)dlopen(&szFileNameBuffer, 0);// 加载系统库文件/system/lib/libc.so
  _hFileHandle = hFileHandle;
  if ( hFileHandle )
  {
    time = dlsym(hFileHandle, lpTime);          // 获取库函数time的调用地址
    dlclose(_hFileHandle);
    ((void (__fastcall *)(unsigned int *))time)(&t);// 调用函数time获取系统时间
                                                // 
    if ( Strlen(_lpRegSnBuffer) != 0x10 )       // 注册码必须是16位
      goto Jmp_FalseLenth;                      // 
                                                // 
    _nStrUserNameLenth = nStrUserNameLenth;
    if ( nStrUserNameLenth >= (signed int)nStrImeiLength )// 用户输入的用户名的长度大于设备机器码的长度的情况
      _nStrUserNameLenth = nStrImeiLength;      // 用户名的长度取设备机器码的长度
                                                // 
    nTime = t / 0x14;                           // 系统时间t/0x14
    szIMEIBuffer = j_dlmalloc(nStrImeiLength + 1);// 为保存设备机器码分配内存
    memset_0(szIMEIBuffer, 0, nStrImeiLength + 1);// 缓冲区清零
    ((void (__fastcall *)(unsigned int *))time)(&t);// 再次调用函数time获取系统时间t
    *(_DWORD *)szIMEIBuffer ^= (signed int)t / 0x14 ^ nTime;
    strcpy_0(szIMEIBuffer, _lpIMEIBuffer);
    if ( (signed int)_nStrUserNameLenth > 0 )
    {
      j = 0;
      do
      {
        *(_BYTE *)(szIMEIBuffer + j) ^= *(_BYTE *)(_lpUserNameBuffer + j);
        ++j;
      }
      while ( j != _nStrUserNameLenth );
    }
    ((void (__fastcall *)(_DWORD))time)(&t);    // 再次调用函数time获取系统时间t
    dwFirstIMEIBuffer = *(_DWORD *)szIMEIBuffer;// 取设备机器码的首DWORD数据
    szDecrypt_16[1] = 0;
    szDecrypt_16[2] = 0;
    szDecrypt_16[3] = 0;
    *(_DWORD *)szIMEIBuffer = dwFirstIMEIBuffer ^ (signed int)t / 0x14 ^ nTime;
    v49 = 0;                                    // 
                                                // 
    lp_state = (MD5_CTX *)state;                // ============================================
    state[0] = (MD5_CTX *)0x67452301;
    state[1] = (MD5_CTX *)0xEFCDAB89;
    state[2] = (MD5_CTX *)0x98BADCFE;
    count[0] = 0;
    state[3] = (MD5_CTX *)0x10325476;
    szDecrypt_16[0] = 0;                        // 保存szIMEIBuffer经过MD5加密后的结果
    count[1] = 0;                               // MD5算法的初始化,调用MD5Init函数
                                                // ============================================
    MD5Update_A9B88B78((MD5_CTX *)state, szIMEIBuffer, nStrImeiLength);// 调用MD5的MD5算法的Update函数,szIMEIBuffer保存原结果
                                                // ============================================
    MD5Encode_A9B88C64((int)&bits, (int)count, 8u);
    index = ((unsigned int)count[0] >> 3) & 0x3F;
    padlen = index > 0x37 ? 120 - index : 56 - index;
    MD5Update_A9B88B78((MD5_CTX *)state, 0xA9B8CF44, padlen);
    MD5Update_A9B88B78((MD5_CTX *)state, (int)&bits, 8u);
    MD5Encode_A9B88C64((int)szDecrypt_16, (int)state, 16u);// 调用MD5算法的MD5Final函数,szDecrypt保存MD5加密后的结果
                                                // ============================================
    do
    {
      LOBYTE(lp_state->count[0]) = 0;
      lp_state = (MD5_CTX *)((char *)lp_state + 1);
    }
    while ( (_DWORD *)lp_state != szDecrypt_16 );// 
                                                // 
    m = 16;
    n = 0;
    do
    {
      *((_BYTE *)&lpInt + n) = m ^ *((_BYTE *)szDecrypt_16 + n);
      ++n;
      m = (m + 1) & 0xFF;
    }
    while ( n != 16 );                          // 
                                                // 
    lpRegUserBuff = (char *)&szRegUserBuff;     // 用户输入的用户名
    k = 0;
    do
    {
      v23 = *((_BYTE *)&lpInt + k);
      v24 = k++ + 16;
      j_sprintf(lpRegUserBuff, (const char *)dword_A9B8AC58, v23 ^ v24);// 格式化字符串%02X
      lpRegUserBuff += 2;
    }
    while ( k != 16 );                          // 
                                                // 
    ((void (__fastcall *)(_DWORD))time)(&t);    // 再次调用函数time获取系统时间t
    szRegUserBuff ^= nTime ^ (signed int)t / 0x14;// 生成用户输入的注册码**********************
    free(szIMEIBuffer);                         // 
                                                // 
    if ( !memcmp_0((int)&szRegUserBuff, _lpRegSnBuffer, 16) )// 对16位用户输入的注册码进行校验
      result = 1;                               // 返回值为1,此种情况说明,用户输入的注册码正确
    else
Jmp_FalseLenth:
      result = 0;
  }
  else
  {
    result = -1;
  }
  if ( _nChkNumber != (*_stack_chk_guard)[0] )
    j___stack_chk_fail_0(result);
  return result;
}


//说明 用户需要输入的注册码是有用户的手机的设备ID和用户输入的用户名称经过算法生成的。


9.MD5算法的C语言实现代码。


http://blog.chinaunix.net/uid-24118190-id-4372129.html


由于电脑分辨率的问题导致截图不清楚,具体的详细清楚的分析过程报告我已经放在附件里,下载地址为:http://download.csdn.net/detail/qq1084283172/9596495
Fly20141201
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Android安卓逆向工程-视频教程网盘链接提取码下载 .txt
03-03
安卓逆向与游戏安全技术就是使用安卓手机应用机对游戏做PJ攻击,以达到测试与逆向调试、安全分析、应用保护等效果。学习这门技术主要从事安全岗位就业,或者是自己兼职做项目测试获得赏金。安卓逆向工程岗位在日常...
写在过年之前:我做逆向工程的这半年
热门推荐
奋进的代码
01-28 1万+
去年七月,博主拉着行李来到帝都开始了北漂生活。 初入社会,第一次面试就显地极为老实磕巴紧紧张张。看着面试上熟悉而又陌生,疏远而又亲近的知识点,我愣是没有写出一个一二来。内心徘徊了十几分钟,还是喊面试官交卷了。面试官是一位看上去四十岁的中年人,手里拿着笔眉头紧锁在我的笔试上勾勾叉叉。 “你连这个都不会吗?”,面试官指着目看着我颇为不满的问道。 “额.....我会的,只不过现在忘记了.....
Python-爬虫工程-面试题总结
王冠hurt的博客
05-28 1万+
1、对__if__name__ == 'main'的理解陈述__name__是当前模块名,当模块被直接运行时模块名为_main_,也就是当前的模块,当模块被导入时,模块名就不是__main__,即代码将不会执行。2、python是如何进行内存管理的?a、对象的引用计数机制python内部使用引用计数,来保持追踪内存中的对象,Python内部记录了对象有多少个引用,即引用计数,当对象被创建时就创建了...
android逆向工程Android高级工程每日面试题精选
最新发布
2301_82242251的博客
03-21 433
我一直以来都有整理练习大厂面试题的习惯,有随时跳出舒服圈的准备,也许求职者已经很满意现在的工作,薪酬,觉得习惯而且安逸。不过如果公司突然倒闭,或者部门被裁减,还能找到这样或者更好的工作吗?我建议各位,多刷刷面试题,知道最新的技术,每三个月可以去面试一两家公司,因为你已经有不错的工作了,所以可以带着轻松的心态去面试,同时也可以增加面试的经验。我可以将最近整理的一线互联网公司面试+解析分享给大家,大概花了三个月的时间整理2246页,帮助大家学习进步。
逆向工程要学什么?
LYSM
07-17 9776
小弟接触逆向领域掰着手指头算下来也得有断断续续的三年了,最近找到一个不错的实习机会,关于C++逆向的,主要领域是反外挂和防盗号。 虽然相对其他人有些基础,但心里还是没有底…为啥呢,因为这三年来自己一直都是遇到问想着怎么用其他的办法去代替它从而达到“解决”这个问的目的,(俗称馊主意 ─=≡Σ(((つ•̀ω•́)つ),但是没有静下心来好好斟酌过它们之间的关系和底层原理,导致现在出现了遇到问我可以...
逆向面试常见问(陆续更新ing)
JiangBuLiu的博客
03-14 5840
资料收集与网络(点击对应标有原帖地址)PE怎么判断PE是DLL,还是EXE文件值属性加载基址怎么判断PE文件是32位还是64位PE加载过程基础Windows下的调用约定通用寄存器有哪些?段存器怎么找到函数地址调试与反调试INT3INT 3 指令Intel的手册INT 3 中断调试处理流程Windows反调试有哪些?反调试技术总结一、探测Windows调试器1.使用Windows API2.手动检...
逆向面试题汇总
caichengji1的博客
03-03 5583
注入有哪几种方式?         SetwindowsHook 以调试方式打开进程,制造异常,在接管异常代理的代码里加入注入代码 CreateRemoteThread  和 Loadlibrary                 将要执行的代码写在Dll里 CreateRemoteThread 和Writeprocessmemory  写汇编代码         修改PE文件导入表,添
最详细的爬虫逆向面试题(建议收藏)
m0_48891301的博客
10-03 1296
本文内容皆为面试中出现的问,大概整理了一些,答案并不唯一,仅供参考。
安卓安全/逆向面试题
平凡者的专栏
06-19 4363
安全逆向
单链表反转以及相关面试题
geng2568的博客
02-25 299
(一)单链表的结点结构:  data域:存储数据元素信息的域称为数据域;  next域:存储直接后继位置的域称为指针域,它是存放结点的直接后继的地址(位置)的指针域(链域)。 data域+ next域:组成数据ai的存储映射,称为结点; 注意:①链表通过每个结点的链域将线性表的n个结点按其逻辑顺序链接在一起的。    ②每个结点只有一个链域的链...
UC.Android逆向面试2
04-27
UC优视Android逆向工程面试题,有兴趣的可以看一下。
阿里android逆向面试题crackme
07-02
阿里android逆向面试题crackme
Android逆向CTF基础汇总
06-11
附件是八道Android基础逆向,基本都是CTF。平时网上基础的CTF目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF再贴出来分享给大家练手。
一次还原算法的另类途径——动态库引用
inquisiter
12-13 1107
一次还原算法的一类途径一般来说我们还原算法,就要老老实实的静态分析,动态分析,有反调试就国反调试。不过我现在发现,现在的反调试越来越不好过了,加上还有部分签名验证等乱七八糟的东西。就真的让人苦闷了。本次我们另辟蹊径,我们不过反调试和签名验证。直接把关键算法的库给他扒出来,在我们自己的应用中分析。你这回没辙了吧。关键算法位置这个比较容易,静态分析直接上,没啥好说的,直接上代码int __fastcal
ida pro so文件f5后伪c后的 jni函数优化
大老的逆向专栏
09-30 4308
ida pro so文件f5后伪c后的 jni函数优化 自己写的原创工具生成的伪c代码进行处理以下是部分结果的例子 int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6) {   in
攻防世界mobile新手区之easy jni 以及easy-apk的write up
克格莫
02-12 729
0x01上dex2jar: 得到关键代码: private boolean a(String paramString) { try { return ncheck((new a()).a(paramString.getBytes())); } catch (Exception exception) { return false; } } ...
简单逆向6(安卓,算法逆向,os)
m0_49936845的博客
08-16 398
先了解一个关键字 NATIVE 静态链接 首先用jeb打开: 找到MainActivity(Tab反汇编): package com.sec.ctf2; import android.app.Activity; import android.os.Bundle; import android.view.View$OnClickListener; import android.view.View; import android.widget.Toast; public class MainActivit
IDA里so里Java接口函数
qq_34108752的博客
09-23 659
IDA中 so里导出函数 java接口函数 F5里 看C代码 这样的 v8 = (*(int (__fastcall **)(_JNIEnv *, int, int))(*(_DWORD *)v6 + 692))(v6, v5, v4); v9 = (*(int (__fastcall **)(_JNIEnv *, int, _DWORD))(*(_DWORD *)v6 + 736))(v6, v...
UC-Android逆向工程 面试题1的分析
Fly20141201. 的专栏
08-20 5802
1.简介 这个目是一位吾爱破解的坛友在面试UCAndroid逆向工程事时,遇到的目。此不难,与阿里移动去年移动安全比赛的目差不多,目的验证方式也是查表对比,并且这个表的数据是放在文件中的。 2.分析 直接使用JEB对UC-crackme.apk程序进行反编译,得到下面的结果: 获取查询的密码表,即文件abcdefghddd
某flutter-app逆向分析
09-16
逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后进行解包操作,将其转换为可读取的文件目录结构。 接下来,我们可以使用一些工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值