Android安全/应用逆向--33--使用IDA Pro进行脱壳

7-10、使用IDA Pro进行脱壳
注：本文之针对加密壳（教学级），高端商业壳的复杂度远远超出想象，目前难以搞定
加壳是为了让自身的classes.dex得到保护，防止APK的源代码被偷窥。

脱壳总目标：到达dvmDexFileOpenPartial 函数处，dump出内存中的dex文件。这也是脱壳的核心思想

Apk脱壳方法有两种：

（1）使用脱壳神器ZjDroid进行脱壳（现在此方法不是很好使，因为很多应用都同步更新自己的防御机制，个人觉得熟练脱壳还是得使用 IDA 进行操练）。
（2）使用 IDA Pro 在 dvmDexFileOpenPartial 这个函数下断点进行脱壳。（大杀技）

虽然加壳能防止源代码被偷窥，但是这只能防止静态分析，无法防止动态调试。不管怎么加壳保护，原始的classes.dex在App运行时都要加载到内存中。所以如果在App加载classes.dex处下个断点，然后再把classes.dex对应内存中的内容抠出来还原成原始的classes.dex文件，就能达到脱壳的目的了。

获取libdbm.so文件

adb pull system/lib/libdvm.so E:/sensor               
//注意：直接在命令行下执行，不需要先执行adb shell。同时主机路径不能是磁盘的根目录，必须要先建文件夹

批注：
adb pull 安卓设备路径 主机路径         //从安卓设备中读出文件
adb push 主机路径 安卓设备路径         //向安卓设备中写入文件
1
2
3
4
5
6
脱壳步骤：
一、架设调试桥
1、上传IDA调试服务器地址：G:\daimashenji\IDAPro70\dbgsrv\android_server
2、cmd进入到该目录下: G:\daimashenji\IDAPro70\dbgsrv
3、导入IDA调试服务器：adb push android_server /data/local/tmp
4、adb shell 
5、cd到/data/local/tmp下：chmod 777 android_server
6、./android_server(如果失败重启手机)

二、部署安卓
1、端口转发：adb forward tcp:23946 tcp:23946
2、adb shell下执行：am start -D -n com.e.te/com.e.te.MainActivity（包名/启动页面）启动页面不一定是这样
3、会弹出框

三、部署IDA（此时打开IDA就行，不要添加任何东西）
1、IDA-debugger-Attach-remote ARMlinux/Android debugger
2、填入IP（localhost/手机IP地址）、密码没有不用填，保存默认网络设置
3、高级设置：左边345，右边：235，下面：3。保存设置
4、点击要调试的包名选入
5、此时相关的应用程序将显示红色蜘蛛，如果遇到弹窗，一律点击取消Cancel，以及Apply

注意：此时可以再开一个IDA32位，用于静态分析libdvm.so

四、开始下断
1、此时已经进入动态调试页面

2、IDA--debugger--debugger windows--module list，查找libdvm.so并双击进入
注：在Dalvik虚拟机中是libdvm.so，在ART虚拟机中是libart.so，Android4.4开始加入ART运行时（虚拟机），Android5.0开始ART虚拟机已经完全替代Dalvik虚拟机。

3、alt+T，搜索dvmDexFileOpenPartial函数，并进入该函数

4、在该函数处第一个可下断点之处下断点。静态分析得到该函数的相对地址，在动态调试的IDA中使用ctrl+S找到libdvm.so直接查看基地址，两地址相加得到绝对地址，使用G键跳转，然后下断点

大多教材是将第五步的命令执行和第四步颠倒，实际上可能没有顺序

五、调试拷贝
1、运行IDA，让IDA跑起来，如果弹出窗口，一律点击取消Cancel，以及Apply

2、打开命令窗口，执行：

jdb -connect com.sun.jdi.SocketAttach:port=8700,hostname=localhost
1
3、此时IDA将停止。R0寄存器出现debug字样（或者是其他字样），则可以开始正常进行脱壳

4、运行程序。包括F7、F8、F9等快捷键。重点关注所下的断点。主要是分析其中的运行判断逻辑，同时运行成功后才能将常规代码载入内存，以便dump内存数据。注意：可能会遇到反调试检测，遇到则按照之前的方法进行绕过

5、IDA --file --script command --编写脚本 --run

6、脚本如下：

auto fp, dex_addr, end_addr;
    fp = fopen("f:\\dump.dex", "wb");
    end_addr = r0 +r1;
    for (dex_addr = r0; dex_addr< end_addr; dex_addr ++)
               fputc(Byte(dex_addr), fp);

7、编写完脚本之后，使用shift+F2调出IDA脚本，运行脚本

8、找到dump.dex，并对其进行smali分析

六、应用还原
1、修改反编译之后的AndroidManifest.xml内容

android:name=”com.shell.superApplication”       //删除该段，大多是后面也是用这个名字
1
如果有自己的Application，就改成自己的Application即可

2、删除多余的APK变种文件。即之前所说的存放在assets、libs等文件夹下的独立多余的文件。

3、使用apktool进行回编译，保留未签名文件

4、将dump.dex该命为classes.dex文件，并使用压缩软件打开未签名文件，替换掉未签名APK下的dex文件

5、签名APK，至此完成还原，脱壳结束。

七、后续步骤
1、分析dump.dex，如果不能使用dex2jar等工具分析Java代码，则分析Smali代码。分析时注意log信息等

2、在手机文本中输入多内容时，可以借助命令：adb shell input text “要输入的内容”
注意：必须要有双引号，必须是英文，测试不识别中文

逆向加固应用的知识总结
APK加固的两种方式：一种是对源APK整体做一个加固，放到指定位置，运行的时候再解密动态加载；还有一种是对so进行加固，在so加载内存的时候进行解密释放。

一个APK加固，外面肯定得套一个壳，这个壳必须是自定义的Application类，它需要做一些初始化操作，一般加固的APK壳的Application类都喜欢叫StubApplication。

步骤如下：

1、查看是否加固

首先解压出classes.dex文件，使用dex2jar工具查看Java代码，发现只有一个Application类，所以猜测APK被加壳了
然后用APKtool来反编译APK，得到它的资源文件和AndroidManifest.xml内容，包括包名和入口的Activity类，记住这些内容

2、寻找加固之后的源APK程序

加固APK一般存放在3个地方：

1、应用的asset目录中。这个目录是不参与APK的资源编译过程的，所以很多加固的应用会把加密之后的源APK放到这里，存放形式可能是jar文件也可能是其他非常规资源文件
2、应用的libs中的so文件中。把源APK进行拆分，存到so文件中，加大分析难度，存放形式是不被应用加载的so文件
3、把源APK加密放到壳的dex文件尾部。这种方式会导致用dex2jar工具解析dex失败
直接打开看即可。有难度时这一步是不会有任何收获的

3、获取到内存中的dex文件（解密后的dex文件）

使用动态调试，给libdvm.so中的函数dvmDexFileOpenPartial下断点，得到dex文件在内存中的起始地址和大小。因为内存中的数据肯定是没有加密的（这似乎也说明了即时加密技术基本上是不存在的），而这个函数是最终分析dex文件，加载到内存中的函数：

int dvmDexFileOpenPartial(const void* addr,int len,DvmDex** ppDvmDex);
1
第一个参数是dex内存的起始地址，第二个参数是dex大小。代码运行到该函数处会解密dex文件到内存，而之后会继续向后运行，内存数据将被覆盖或回收等导致变化，因此在此处下断点会暂停在解密的dex文件的那一刻，使得dex文件在内存中不会变化，所以在该函数处下断点可以dump出内存中的dex文件

知识点：本地盘中的数据是加密的，加载到内存的时候要进行解密，如此机器才能识别数据
--------------------- 
版权声明：本文为CSDN博主「随 亦」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/wutianxu123/article/details/82931127