一、目标
之前我们已经用unidbg跑通了libencrypt.so,那么如何判断跑出来的结果是对是错?再如何纠正unidbg跑错误的流程,是我们今天的目标。
v6.1.0
二、步骤
找到明显的接口来判断
checkcode是加密,加密的结果确实不好判断是否正确。不过我们可以试试解密,能解密就是对的,简单粗暴。这里解密函数是 decheckcode 。
public void callB() {String strA = "FlK6XicivmCwPSE3sk6b71m9WbWd/gYZtlajqGXhEXXjmWEZziR51rVWSEDwUUi4UN9RnoCGbLNmqI80Fiog4Sw==";String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);String strOut = (String)ret.getValue();System.out.println("call decheckcode: " + strOut);
}
跑一下,这个结果明显不对,死心了
call decheckcode: fac34ffa581987c7a1ffa5b876ca96ce
分析问题
结果不对,肯定是过程不对。
那么解决方案就是 分析对比unidbg运行的流程和app运行的流程 有哪里有不同?
对比运行流程有三个粒度, _函数、代码块和代码_。 (在ida里按空格,出现的流程图中的每个块就是代码块)
我们今天主要要对比 decheckcode函数,所以先从代码块的粒度来做Trace。
Trace Block
unidbg提供一个BlockHook,每运行到一个代码块就触发这Hook,我们就利用他来做Trace Block
// 保存需要用frida Hook的Block的地址
public static Map<Integer, Integer> subTraceMap = new HashMap<Integer, Integer>();
// 保存命中的Block地址的次数,命中次数太多的就忽略掉。
public static Map<Integer, Integer> calcMap = new HashMap<Integer, Integer>();
// 入参是so基地址, 需要Trace代码的开始地址和