百度加固逆向分析

最新推荐文章于 2021-05-26 19:46:38 发布
最新推荐文章于 2021-05-26 19:46:38 发布
阅读量2.3k 收藏 1
点赞数
文章标签: ndk app class c语言 反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21051503/article/details/69948635
版权

 最近一直在研究百度壳,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。

下面开始:

一、init_array 

我们发现init_array中存在多个函数地址,JNI_Onload为加密状态

动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。

之后遇到反调试崩溃退出。后来发现反调试检测了以下字段:

android_server

gdbserver

gdb

TracePid:

/proc/self/task/%s/status

isDebuggerConnected等。。

二、bypass

编写了一个loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#include <jni.h>
int  main()
{
     JavaVM* vm;
     JNIEnv* env;
     jint res;
     
     JavaVMInitArgs vm_args;
     JavaVMOption options[1];
     options[0].optionString =  "-Djava.class.path=." ;
     vm_args.version=0x00010002;
     vm_args.options=options;
     vm_args.nOptions =1;
     vm_args.ignoreUnrecognized=JNI_TRUE;
     
     printf ( "[+] dlopen libdvm.so\n" );
     void  *handle = dlopen( "/system/lib/libdvm.so" , RTLD_LAZY); //RTLD_LAZY RTLD_NOW
     if (!handle){
     printf ( "[-] dlopen libdvm.so failed!!\n" );
     return  0;
     }
     //这里我先创建一个java虚拟机。因为JNI_ONload函数参数第一个参数为JavaVM。
     typedef  int  (*JNI_CreateJavaVM_Type)(JavaVM**, JNIEnv**,  void *);
     JNI_CreateJavaVM_Type JNI_CreateJavaVM_Func = (JNI_CreateJavaVM_Type)dlsym(handle,  "JNI_CreateJavaVM" );
     if (!JNI_CreateJavaVM_Func){
     printf ( "[-] dlsym failed\n" );
     return  0;
     }
     res=JNI_CreateJavaVM_Func(&vm,&env,&vm_args)
     void * si=dlopen( "/data/local/tmp/libbaiduprotect.so" ,RTLD_LAZY);
     if (si == NULL){
     printf ( "[-] dlopen err!\n" );
     return  0;
     }
     typedef  jint (*FUN)(JavaVM* vm, void * res);
     FUN func_onload=(FUN)dlsym(si, "JNI_OnLoad" );
     if (func_onload==NULL) //我将断点下在了这里可以正好获取到JNI_Onload的函数地址。
         return  0;
     func_onload(vm,NULL);
     return  0;
}

此时R0为dlsym返回的JNI_Onload地址.我们跳转过去,按C将字节码转成代码,发现此时JNI_Onload已经解密。

这时候我们将so从内存中dump出来。将原来的so头部和section修复回去。代码的解密已经完成。

3、字符串解密

这时候我们发现so的字符串还是加密状态,每个字符串对应一个解密函数。

经过分析发现。解密算法是一样的,只是异或的偏移地址不一样。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
_BYTE *__fastcall sub_17A28(_BYTE *a1)
{
   _BYTE *v1;  // r4@1
   int  v2;  // r0@1
   int  v3;  // r1@2
   unsigned  int  v4;  // r5@3
   int  v5;  // r3@3
   int  v6;  // r7@3
   _BYTE *v7;  // r4@4
   int  v8;  // r6@4
   _BYTE *v9;  // r5@4
   unsigned  int  v10;  // r2@5
   signed  int  v11;  // r0@5
   unsigned  int  v12;  // r1@7
   int  v13;  // r3@7
   int  v14;  // r7@7
   int  v15;  // r0@9
   int  v16;  // r2@9
   _BYTE *v18;  // [sp+4h] [bp-1Ch]@3
   v1 = a1;
   v2 = ( int )(a1 - 1);
   do
     v3 = *(_BYTE *)(v2++ + 1);
   while  ( v3 );
   v4 = (unsigned  int )(v2 - (_DWORD)v1) >> 1;
   v18 = j_j_malloc(v4 + 1);
   v5 = 0;
   v18[v4] = 0;
   v6 = *v1;
   if  ( *v1 )
   {
     v7 = v1 + 2;
     v8 = 0;
     v9 = v18;
     do
     {
       v10 = v7[~v5];
       v11 = 208;
       if  ( v10 >= 0x3A )
         v11 = 201;
       v12 = (unsigned  __int8 )v6;
       v13 = 16 * v6;
       v14 = 16 * v6 + 144;
       if  ( v12 >= 0x3A )
         v13 = v14;
       v15 = v13 + v11 + v10;
       v5 = 0;
       v16 = 0;
       if  ( v8 != 8 )
         v16 = v8;
       *v9 = byte_5FB25[v16] ^ v15; //此处byte数组值不同。
       v8 = v16 + 1;
       ++v9;
       v6 = *v7;
       v7 += 2;
     }
     while  ( v6 );
   }
   return  v18;
}

分析完解密算法后,写了个ida py解密脚本。由于初次写ida脚本。借鉴了一些网上的代码。写的很糟糕。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
import  re
def  getDispatchAddress(ea):
     ea  =   FindText(ea, SEARCH_DOWN |SEARCH_NEXT | SEARCH_REGEX, 0 0 , "BL      sub" )
    
     #Message("Find in %x\n" % ea)
     if  ea  = =  BADADDR:
         #Message("Cann't find the Dispatch address")
         address  =  BADADDR
     else :
         address  =  GetOperandValue(ea, 0 )
         #Message("Dispatch address is %x\n" % address)
     return  address
def  getFunctionInstructions(addr):
     Instructions  =  []
     DispatchBeginAddress  =  getDispatchAddress(addr)
     if  DispatchBeginAddress  = =  BADADDR:
        Message( "Cann't find the Function Instructions List" )
        return  None
     DispatchEndAddress  =  GetFunctionAttr(DispatchBeginAddress,FUNCATTR_END)
     =   DispatchBeginAddress
     while  True :
       #Instructions.append(GetDisasm(i))
       Instructions.append(i)
       tmp  =  +  ItemSize(i)
       if  tmp < DispatchEndAddress:
          =  +  ItemSize(i)
       else :
          break
     address  =  i
     return  Instructions
def  getaddr(addr):
     for  in  XrefsTo(addr,flags  =  0 ):
         #print hex(x.frm)
         num = 0
         got = 0
         for  in  getFunctionInstructions(x.frm):
             mnem  =  GetMnem(i)
             if  "LDR"  in  mnem :
                 if  num  = =  5 :
                     #print hex(i)
                     op   =   GetOperandValue(i, 1 )
                     b3 = Byte(op + 3 )<< 24
                     b2 = Byte(op + 2 )<< 16
                     b1 = Byte(op + 1 )<< 8
                     b0 = Byte(op + 0 )
                     got = b0 + b1 + b2 + b3 + (i + 6 )
                 if  num  = =  6 :
                     #print hex(i)
                     op   =   GetOperandValue(i, 1 )
                     b3 = Byte(op + 3 )<< 24
                     b2 = Byte(op + 2 )<< 16
                     b1 = Byte(op + 1 )<< 8
                     b0 = Byte(op + 0 )
                     tmp = b0 + b1 + b2 + b3
                     off = got + tmp
                     #print hex(off&0xffffffff)
                     return  off& 0xffffffff
                     break
                 num = num + 1
         break      
def  decrypt1(addr, str ):
     len1 = len ( str )>> 1
     out = ''
     for  in  range ( 0 ,len1):
         v1 = 208
         v2 = 16 * ord ( str [ 2 * i])
         if  ord ( str [ 2 * i + 1 ])> = 0x3a :
             v1 = 201
         if  ord ( str [ 2 * i])> = 0x3a :
             v2 = 16 * ord ( str [ 2 * i]) + 144
         v3 = (v1 + v2 + ord ( str [ 2 * i + 1 ]))& 0xff
         out = out + chr (Byte(addr + i % 8 )^v3)
     print  out
def  decrypt(addr1, str ): #这里就是主要的解密
     addr = getaddr(addr1)
     if  addr  = =  None :
         return  ''
     len1 = len ( str )>> 1
     out = ''
     for  in  range ( 0 ,len1):
         v1 = 208
         v2 = 16 * ord ( str [ 2 * i])
         if  ord ( str [ 2 * i + 1 ])> = 0x3a :
             v1 = 201
         if  ord ( str [ 2 * i])> = 0x3a :
             v2 = 16 * ord ( str [ 2 * i]) + 144
         v3 = (v1 + v2 + ord ( str [ 2 * i + 1 ]))& 0xff
         out = out + chr (Byte(addr + i % 8 )^v3)
     print  out
     #print hex(addr1)
     MakeComm(addr1,out)
     for  in  XrefsTo(addr1,flags  =  0 ):
         MakeComm(x.frm,out)
def  GetAllString(addr):
     str_1 = GetString(addr, - 1 ,ASCSTR_C)
     len_1 = len (str_1)
     if  str_1 ! =  ''  and  addr< 0x5f6c8 :
         if  re.search( "^[0-9A-Z]+$" ,str_1):
             #print addr,str_1
             decrypt(addr,str_1)
         return  GetAllString(addr + len_1 + 1 )
     else :
         decrypt(addr,str_1)
addr = 0x5d8e8
GetAllString(addr)

运行之后可以看到字符串已解密成功。

之后就可以继续分析so对dex的保护过程,我目前还未分析完成。大家有兴趣的可以一起分析。分析好后我会再发一篇文章。

libbaiduprotect.so我放到附件了


上传的附件:
ios and Android
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
用于app加固,防止反编译,逆向分析
01-11
用于app加固,防止反编译,逆向分析
百度加固逆向分析—dex还原--二代抽取壳
zhangmiaoping23的专栏
10-22 1255
上回说过要再写一篇文章,这里跟大家分享一下百度壳DEX的dump与修复。 下面开始: 一、如何获取dex 首先,我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个: dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体 dvmDexFileOpenPartial 从内存获取DexFil...
逆向libbaiduprotect(二)
weixin_30291791的博客
06-05 379
首先要确保你所使用的gdb和gdbserver是配对的,最好(或必须)是sdk内相同platform(api level)下的gdb和gdbserver。否则你使用的gdb可能与运行测试机上的gdbserver,因为协议不兼容,而不能正常调试。 gdb 连接后提示,"Argument to arithmetic operation not a number or boolean." gdb...
如何使用百度加固服务
marke'wang的博客
11-25 4249
如何使用百度加固服务 首先必须有在百度上线的app 申请应用加固服务 按照提示下载有关帮助文档及工具 下载通过加固服务还没有进行签名的apk 使用下载的签名工具对下载的apk签名并生成渠道包 最后对个渠道apk进行上线 百度上线APP首先得有一个百度开发者平台账号,在账号上进行应用管理。进入管理中心创建新应用选择创建的形式填写应用资料提交申请通过后,在应用管理里的应用列表中会多出上线之后的应用信息,
一文带你识别移动端主流加固的方案
深耕安全技术研究
03-03 7602
文章目录1.移动端主流加固2. 移动端加固的详细分析2.1 爱加密加固的详细分析2.2梆梆加固2.3 腾讯乐固2.4 网易易盾加固2.5 360加固2.6 阿里云加固2.7 百度加固2.8娜迦加固2.9顶象加固3.识别移动端加固3.1 识别检测的方法3.2 1.移动端主流加固 按照市场使用及推广目前市面上已经成型并进行销售的移动端加固主要有: 1.爱加密加固 2.梆梆加固: 3.腾讯乐固 4.网易易盾 5.360加固 6.阿里云加固 7.百度加固 8.娜迦加固 9.顶象加固 2. 移动端加固的详细分析 2.
百度android apk 加固,百度宣布开放应用加固技术 支持Android L应用
weixin_39828198的博客
05-26 241
腾讯科技讯(乐天)9月3日消息,据了解,百度手机卫士正在建立移动安全平台,将输出“反病毒、反骚扰、应用保护”三个方面的移动安全能力,其中,应用加固服务是应用保护能力的核心技术。张宇平介绍,“APP劫持”是近年来在移动端兴起的一种非法窃私技术手段,不少恶意开发者通过在正规的应用中植入恶意程序,并使用hook(挂钩)等技术篡改内存,窃取应用中用户的账户和密码等隐私信息,尤其在Android系统中这类现...
信息安全_从安卓系统源码看逆向分析.曹圣.pptx
08-14
从android框架层看android加固 从android框架层看逆向分析 从android内核层看逆向分析 依据源码的逆向分析构思
论文研究-Android加固应用脱壳技术研究 .pdf
08-17
Android加固应用脱壳技术研究,吴博,郭燕慧,随着移动互联网的发展,移动安全加固技术逐步普及,被加固的恶意应用带来的问题日益突出,传统的应用检测在加固应用逆向分析
体外预应力加固桥梁挠度分析
06-16
在结构加固中,确定体外预应力的设计并推导出加固后挠度计算公式。挠度监测点监测结果与挠度计算公式计算结果相比误差均小于5%,实践表明体外预应力加固后挠度计算公式是正确的,且表明此加固技术是减小挠度的有效方法...
干货!一文了解安卓APP逆向分析与保护机制
02-24
安卓APP安全包含很多内容,本次分享了混淆代码、整体Dex加固、拆分Dex加固、虚拟机加固等方面。事实上,这些内容也是国内近几年AndroidApp安全保护的一种主要趋势。Java代码是非常容易反编译的,作为一种跨平台的、...
手动百度脱壳
04-17
手动脱百度的壳,关于逆向破解百度加固过的app
App加固助手
11-29
加固保为移动应用提供专业安全的保护,可防止应用逆向分析反编译、二次打包,防止嵌入各类病毒、木马等恶意代码及低俗广告,从源头保护数据安全和开发者利益
360脱壳爱加密脱壳360加固保脱壳
04-16
360脱壳爱加密脱壳360加固保脱壳工具。两种壳都可以脱
云梦TV修改可用内附修改可对接骆驼后端(含APP加固壳 转载分享)
11-19
含PHP后端源码,内附修改可对接骆驼后端(含APP加固壳),已对epg适配等做了修改,可正常使用51zmt epg信息,对epg更新代码做了调整,可用每天正常更新
加固脱売工具,结合VirtualXposed一起使用
08-22
通过Hook ClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),在将里面的dex写出。结合VirtualXposed一起使用。
特殊文件--proc文件系统
xuwenwu1985的博客
05-05 282
1.proc文件系统 proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是 动态从系统内核读出所需信息并提交的。 作为一种特殊的文件,程序可以使用ope
/proc/self/status讲解
cnctloveyu的专栏
02-04 8471
转自:http://hi.baidu.com/wylhistory/blog/item/8f51ff38243d6322b8998f0a.html  别人写的:[root@localhost ~]# cat /proc/self/statusName: catState: R (running)SleepAVG: 88%Tgid: 5783Pid: 5783PP
android百度脱壳,[原创]百度加固逆向分析
weixin_39639505的博客
05-26 992
最近一直在研究百度壳,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。下面开始:一、init_array我们发现init_array中存在多个函数地址,JNI_Onload为加密状态动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。之后遇到反调试崩溃退出。后来发现反调试检测了以下字段:android_servergdbserver...
百度脱壳的一点尝试--人肉修复
热门推荐
Beautiful Attack and Defence
08-11 1万+
前言最近把研究dex的脱壳,顺便又是再次熟悉了一下dex的标准格式以及dex被解析后在内存中所存在的格式。自己上官网加了一个壳子,发现跑不起来。于是求助几个基友,最后样本是海总给的apk,很全面,带有Activity、Application、BroadcastReceiver、ContentProvider、以及Service。0x1 加壳前后对比加固后的文件列表变化: 新增一个so文件以及
怎么逆向360加固的apk
最新发布
05-10
逆向360加固的 APK 需要一定的逆向工程技术和知识,以下是一些可能的操作步骤: 1. 解压 APK 文件:使用 APK 解压工具,将 APK 文件解压成文件夹。 2. 反编译:使用反编译工具,将 APK 文件夹中的所有 .dex 文件反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ios and Android

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值