APK加固之类抽取分析与修复

最新推荐文章于 2021-09-14 15:43:25 发布
最新推荐文章于 2021-09-14 15:43:25 发布
阅读量1k 收藏 1
点赞数
分类专栏: android安全 文章标签: android加固

转载地址:http://mp.weixin.qq.com/s?__biz=MjM5NzAxMzk4NA==&mid=210073533&idx=1&sn=93f458546a4631e0d6633564f0d5b3c9&scene=0&key=949503d320dbced03c3805aea6a657b1e4ac0e3e85d082f52f17c67a980d7df749837be99b2025e75c000e2bf827681a&ascene=0&uin=MTY1NjQ5MjM0MA%3D%3D&devicetype=iMac+MacBookPro11%2C1+OSX+OSX+10.10.1+build(14B25)&version=11020201&pass_ticket=eHSlFVpR5TFuMX3QcDGHw0eWqA82PkE4v9YLuY%2BaCuO8BGUM%2BwBR5hXkGqn8mm3%2F


注:由于篇幅有限,文章中部分代码有删减,具体请点击左下角原文链接查看。

测试环境与工具
手机系统: 华为U9508 android 4.2.2
IDA Pro 6.8
AndroidKiller 1.2
高手不要见笑,仅供小菜玩乐,有不对或不足的地方还请多多指教,不胜感激!

0x00 简单介绍
 目前我己知的APK加固主要有以下两种方式(或有其它的方式有待发现)
隐藏dex文件:通过对目标DEX文件进行整体加密或压缩方式把整个dex转换为另外一个文件存放在assets文件夹中或者其它地方,然后利用类加载器技术进行内存解密并加载运行。
修改dex结构:抽取DexCode中的字节码指令后用零去填充,或者修改方法属性等操作,运行时在内存中做修正、修复等处理工作。
0x01 APK加固前后对比

 整体来看一下原始APK包和加固后的APK包结构相关变化
图1
图1所示加固后的APK包变化如下:
新增2个文件夹:
assets文件夹中增加3个文件
data
dx
pk
lib文件夹中增加了2个so文件
libedog.so
libfdog.so
被修改的文件:
AndroidManifest.xml

classes.dex
0x02 壳流程分析
我们用AndroidKiller反编译加固后的APK, 反编译出错,错误日志如下:


 图2
从图2可以看出反编译时出现了很多错误,我们用IDA对DEX进行反编译查看代码,发现方法指令都被零填充了,反编译后代码显示为nop样式,如图3所示。


 图3
我们再来看看APK中的AndroidManifest.xml文件被修改了什么地方?


 图4

从图4看到AndroidManifest.xml中的application新增了如下项做为壳的入口

android:name="com.edog.AppWrapper"该类为壳的入口,继续分析AppWrapper都做了些什么?


 图5


 图6


 图7
从图5-7可以看出最终会调用到libedog.so中的dl函数,下面就开始动态调试分析该so的功能流程(如何动态调试就不说了,网上己经有很多的教程了)。
通过动态分析libedog.so中的dl函数主要功能是: 获得系统版本号->验证加固前后的签名是否一致->反调试->将抽走的指令映射到内存中还原指令时用到->HOOK函数dvmResolveClass->结束。
代码流程如下:

libedog.so:5D692C64 20 1C MOVS R0, R4
libedog.so:5D692C66 01 99 LDR R1, [SP,#0xF0+var_EC]
libedog.so:5D692C68 00 F0 8A FC BL _Z6verifyP7_JNIEnvP8_jobject ; 比较加固前后的签名是否一致
libedog.so:5D692C6C 16 49 LDR R1, =(aDataDataSLibLi - 0x5D692C76)
libedog.so:5D692C6E 2A 68 LDR R2, [R5]
libedog.so:5D692C70 03 A8 ADD R0, SP, #0xF0+var_E4
libedog.so:5D692C72 79 44 ADD R1, PC ; "/data/data/%s/lib/libfdog.so"
libedog.so:5D692C74 FF F7 B0 EE BLX sprintf
libedog.so:5D692C78 03 A8 ADD R0, SP, #0xF0+var_E4
libedog.so:5D692C7A 01 1C MOVS R1, R0
libedog.so:5D692C7C 00 F0 02 FD BL _Z4antiPKcS0_ ; 反调试
libedog.so:5D692C80 00 F0 3E F9 BL _Z10openMemoryv ; 将抽走的指令映射到内存中来
libedog.so:5D692C80 ; assets中的data文件
libedog.so:5D692C84 23 68 LDR R3, [R4]
libedog.so:5D692C86 A9 22 92 00 MOVS R2, #0x2A4
libedog.so:5D692C8A 9B 58 LDR R3, [R3,R2]
libedog.so:5D692C8C 00 99 LDR R1, [SP,#0xF0+var_F0]
libedog.so:5D692C8E 20 1C MOVS R0, R4
libedog.so:5D692C90 00 22 MOVS R2, #0
libedog.so:5D692C92 98 47 BLX R3
libedog.so:5D692C94 0D 49 LDR R1, =(unk_5D6A2A0D - 0x5D692C9A)
libedog.so:5D692C96 79 44 ADD R1, PC
libedog.so:5D692C98 FF F7 A4 EE BLX strstr
libedog.so:5D692C9C 00 28 CMP R0, #0
libedog.so:5D692C9E 02 D1 BNE loc_5D692CA6
libedog.so:5D692CA0 33 68 LDR R3, [R6]
libedog.so:5D692CA2 14 2B CMP R3, #0x14 ; 判断版本
libedog.so:5D692CA4 00 DD BLE loc_5D692CA8 ; 根据操作系统的版本
libedog.so:5D692CA4 ; hook对应的dvmResolveClass函数
libedog.so:5D692CA6
libedog.so:5D692CA6 loc_5D692CA6 ; CODE XREF: Java_com_edog_ELibrary_d1+86j
libedog.so:5D692CA6 01 20 MOVS R0, #1
libedog.so:5D692CA8
libedog.so:5D692CA8 loc_5D692CA8 ; CODE XREF: Java_com_edog_ELibrary_d1+8Cj
libedog.so:5D692CA8 00 F0 E8 FB BL _Z7restorei ; 根据操作系统的版本
libedog.so:5D692CA8 ; hook对应的dvmResolveClass函数
libedog.so:5D692CAC 35 9A LDR R2, [SP,#0xF0+var_1C]
libedog.so:5D692CAE 3B 68 LDR R3, [R7]
libedog.so:5D692CB0 9A 42 CMP R2, R3
libedog.so:5D692CB2 01 D0 BEQ loc_5D692CB8
libedog.so:5D692CB4 FF F7 9C EE BLX sub_5D6929F0
libedog.so:5D692CB8 ; ---------------------------------------------------------------------------
libedog.so:5D692CB8
libedog.so:5D692CB8 loc_5D692CB8 ; CODE XREF: Java_com_edog_ELibrary_d1+9Aj
libedog.so:5D692CB8 37 B0 ADD SP, SP, #0xDC
libedog.so:5D692CBA F0 BD POP {R4-R7,PC}
libedog.so:5D692CBA ; End of function Java_com_edog_ELibrary_d1
libedog.so:5D692CBA
libedog.so:5D692CBA ; -------------------------------------

0x03 指令还原算法分析

原始指令还原时机就是在dvmResolveClass的hook函数中对对指令进行解密还原,以下结构的中的几个值会用到,因为被保护后的方法中的debugInfoOff的值被修改成从0x20000000开始的一个值,该值在指令还原时起到重要作用。

struct DexCode {
u2 registersSize;
u2 insSize;
u2 outsSize;
u2 triesSize;
u4 debugInfoOff; /* file offset to debug info stream */
u4 insnsSize; /* size of the insns array, in u2 units */
u2 insns[1];
};

指令还原大致流程如下:
判断是否为保护的类->判断debuginfo值大于0x1FFFFFFF->将debuginfo值左移8位再右移6位->将移位后的值加上加密指令在内存中的开始址取4字节做为偏移->将偏移加上加密指令在内存中的开始地址定位到对应方法的指令->解密指令并还原->清零debuginfo值->结束。
解密指令算法流程如下:(每4字节进行xor)
XorArray函数中进行解密操作->将方法debuginfo值进行crc32计算得到一个值->crc32计算得到的值与指令每4字节进行xor->4字节结束后再将crc32值用PolyXorKey函数生成一个新的4字节数做为密钥,一直循环到解密完成。

代码流程如下

libedog.so:5D693174 25 4B LDR R3, =0x1FFFFFFF
libedog.so:5D693176 02 9A LDR R2, [SP,#0x38+Debug_info]
libedog.so:5D693178 9A 42 CMP R2, R3 ; 判断debuginfo值大于 0x1FFFFFFF (因为被保护的方法debuginfo从0X20000000开始)
libedog.so:5D69317A 44 D9 BLS loc_5D693206
libedog.so:5D69317C 24 49 LDR R1, =(aLandroid - 0x5D693184)
libedog.so:5D69317E 20 1C MOVS R0, R4
libedog.so:5D693180 79 44 ADD R1, PC ; "Landroid/"
libedog.so:5D693182 FF F7 30 EC BLX strstr ; 是系统的类就跳过
libedog.so:5D693186 00 28 CMP R0, #0
libedog.so:5D693188 3D D1 BNE loc_5D693206
libedog.so:5D69318A 36 78 LDRB R6, [R6]
libedog.so:5D69318C 01 96 STR R6, [SP,#0x38+var_34]
libedog.so:5D69318E 00 2E CMP R6, #0
libedog.so:5D693190 39 D1 BNE loc_5D693206
libedog.so:5D693192 20 4B LDR R3, =(aFjFj0fjFjFj4fj+0xC - 0x5D69319C)

0x04 编写修复程序

修复程序主要分为解析dex与解密两个步骤来完成,这里只贴出部分代码详细的请看工程,代码写得比较粗操,看下思路就行了,有性趣的就慢慢撸吧!

void fixdexClassData()
{

DexFile *dexFile = &gDexFile;

char * Tag = "L";
char * ClassTag = "Landroid/";

const DexClassDef* classdef;
u4 count = dexFile->pHeader->classDefsSize;

printf("该DEX共有%d 个类\n", count);

const u1* pEncodedData = NULL;
DexClassData* pClassData = NULL;
const char *descriptor = NULL;


int FileSize = file_size();

gCodeData = (u1*)malloc(FileSize);
if (NULL == gCodeData)
{
printf("分配内存失败!\n");
return;
}
memset(gCodeData, 0, FileSize);

//获得加密指令数据
GetCodeData(gCodeData, FileSize);

if (NULL == gCodeData)
{
printf("获取加密指令数据出错!\n");
return;
}

for(u4 i=0; i<count; i++){
classdef = dexGetClassDef(dexFile, i);

descriptor = getTpyeIdString(dexFile, classdef->classIdx);

if (strstr(descriptor,Tag) == NULL)
{
continue;
}

//跳过一些系统的类
if (strstr(descriptor, ClassTag) != NULL)
{
continue;
}

pEncodedData = dexFile->baseAddr + classdef->classDataOff;
pClassData = dexReadAndVerifyClassData(&pEncodedData, NULL);

if (pClassData == NULL) {
continue;
}

FixdexMethodInsns(dexFile, pClassData, descriptor);

}

}

void FixdexMethodInsns(DexFile *dexFile, const DexClassData*classData ,const char* className)
{
int idx = 0;
DexMethod *method = NULL;
const DexMethodId* methodId = NULL;
DexCode* code = NULL;
const char* methodName;
method = classData->directMethods;
methodId = dexFile->pMethodIds;
unsigned int CodeDataOffset = 0;
u1 * tempCode = NULL;
for (int i = 0; i < (int) classData->header.directMethodsSize; i++) {
idx = classData->directMethods[i].methodIdx;

methodId = dexGetMethodId(dexFile, idx);
methodName = dexStringById(dexFile, methodId->nameIdx);

DexCode* pCode = dexGetCode(dexFile, &classData->directMethods[i]);
if (NULL == pCode)
{
continue;
}
//判断是否为保护后的方法,如果是就修复指令
if ( (pCode->debugInfoOff > 0x1FFFFFFF) && (pCode->insns[0] == 0X00))
{
//求加密指令的偏移
CodeDataOffset = pCode->debugInfoOff << 0x8;
CodeDataOffset >>= 0x6;
//解密指令
tempCode = DecCode(gCodeData+CodeDataOffset, pCode->insnsSize*sizeof(u2), pCode->debugInfoOff, gCodeData);
//修复指令
memcpy(pCode->insns, tempCode, (pCode->insnsSize)*sizeof(u2));
pCode->debugInfoOff = 0x00;
printf("修复%s 类中的%s 方法成功! 大小%X\n",className, methodName,pCode->insnsSize);
if (NULL != tempCode)
{
free(tempCode);
tempCode = NULL;
}
}
}

for (int i = 0; i < (int) classData->header.virtualMethodsSize; i++) {
idx = classData->virtualMethods[i].methodIdx;

methodId = dexGetMethodId(dexFile, idx);
methodName = dexStringById(dexFile, methodId->nameIdx);

DexCode* pCode = dexGetCode(dexFile, &classData->virtualMethods[i]);
if (NULL == pCode)
{
continue;
}
//判断是否为保护后的方法,如果是就修复指令
if ( (pCode->debugInfoOff > 0x1FFFFFFF) && (pCode->insns[0] == 0X00))
{
//求加密指令的偏移
CodeDataOffset = pCode->debugInfoOff << 0x8;
CodeDataOffset >>= 0x6;
//解密指令
tempCode = DecCode(gCodeData+CodeDataOffset, pCode->insnsSize*sizeof(u2), pCode->debugInfoOff, gCodeData);
//修复指令
memcpy(pCode->insns, tempCode, (pCode->insnsSize)*sizeof(u2));
pCode->debugInfoOff = 0x00;
printf("修复%s 类中的%s 方法成功! 大小%X\n",className, methodName,pCode->insnsSize);
if (NULL != tempCode)
{
free(tempCode);
tempCode = NULL;
}
}
}
return;
}
unsigned int PolyXorKey(DWORD crckey)
{
unsigned int dwKey;
char temp;
unsigned __int8 temp1;
unsigned __int8 temp2;
char *pKey;
int temp3;
int j;
int i;

j = 0;
temp3 = 0;
pKey = (char *)&dwKey;
temp2 = 0;
temp1 = 0;
temp = 0;
dwKey = crckey ^ 0xDF138530;
i = 0;
while ( i <= 3 )
{
temp2 = *pKey;
j = 128;
temp3 = 7;
while ( j > 1 )
{
temp = (temp2 & j / 2) >> (temp3 - 1);
temp1 = ((signed int)(unsigned __int8)(temp2 & j) >> temp3) ^ temp;
temp1 <<= temp3;
temp2 |= temp1;
j /= 2;
--temp3;
}
temp = temp2 & 1;
temp1 = temp2 & 1 ^ temp2 & 1;
*pKey = temp2;
++i;
++pKey;
}
return dwKey;
}

0x05 测试与总结

将加固后的 APK中assets文件夹中的data文件与classes.dex放在修复程序同一个目录中,然后运行修复程序。
图8
去掉AndroidManifest.xml中的壳入口,将修复后的classes.dex重新打包反编译,成功运行,如图9所示能正常反编译源码,至此,分析完毕。
壳流程总结:
AndroidManifest.xml中的壳入口->com.edog.AppWrapper->
so中Java_com_edog_ELibrary_d1->hookdvmResolveClass函数->在dvmResolveClass hook函数中修复指令->结束。
语言表达不行,说的很杂,自己都觉得文章没有任何逻辑可言,如果大家能从中获得一些思路那也是好的, 不过这次分析让自己学到了很多,感谢APK加固作者。


beyond702
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360加固之libjiagu.so脱壳及dex dump
燕十二的BLOG
11-17 2万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
数据网站汇总
illikang的博客
10-05 6299
人工智能,数据挖掘,数据分析,都离不开数据。 对于从业者来说,数据获取自然不是问题。可是,对于初学者来说,数据的获取成了大难题。下面就总结一些有用的数据网站: 一.通用数据 1.data.gov( https://www.data.gov/ )  这是美国政府公开数据的所在地,该站点包含了超过19万的数据点。这些数据集不同于气候、教育、能源、金融和更多领域的数据。  2.data.gov....
加固前奏2-替换application
sinat_41380394的博客
11-21 410
运行加载过程 ActivityThread.JAVA Application app = data.info.makeApplication(data.restrictedBackupMode, null);                             -&gt;进入LoadedApk.java                                     String ap...
常见的厂家的加固方式做一下总结
weixin_43733912的博客
09-14 802
常见的厂家的加固方式做一下总结 1.梆梆加固: Assets目录下有secData0.jar,libs目录下为libSecShell.so、libSecShell_x86.so、libSecShell_art.so等,壳为com.secshell.shellwrapper.SecAppWrapper。 2.爱加密加固: 爱加密加固一般有两个Application入口,为SuperApplication和NativeApplication,壳的入口点为com.shell.SuperApplication,a
安卓APK混淆加固重签名工具1.6.0
03-26
7.支持APK加固,可以给DEX文件加一层壳,防止DEX中的代码被静态反编译软件分析 8.支持APK保护功能,防止APK被修改包名,重签名和被调试 9.支持防止反编译功能,可以有效防止一些主流的APK反编译工具对APK文件进行反...
APK加固demo.zip
07-30
"apk加固_doctorq"可能是一个具体的加固工具或库,DoctorQ可能是开发者用来进行加固的工具之一。这工具通常提供图形界面或命令行接口,简化加固流程,同时可能包含了一些自定义的防护策略。 学习这个示例时,你...
android开发应用程序加固,腾讯乐固软件加固apk加固
最新发布
09-06
1. 加固与性能:加固可能会影响应用的启动速度和运行效率,因此在加固时需要平衡安全与性能。 2. 版本更新:每次更新应用时都需要重新进行加固处理。 3. 兼容性问题:加固可能影响部分设备的兼容性,需在多种设备上...
apk加固demo
03-23
APK加固Android开发中的一个重要环节,它通过各种手段增加恶意用户分析和篡改APK的难度,从而提升应用的安全性。这个demo可能是为了演示这些加固技术,包括但不限于代码混淆、资源加密、签名验证增强、防动态调试...
腾讯应用加固的脱壳分析修复
idaretobe的专栏
04-30 1万+
0x1: 腾讯云加固:http://www.qcloud.com/product/appup.html 加固示例原版APK: http://pic.hzt360.com/downfile/beijing/elechongNFC.apk a,首先,看一下原APK和通过腾讯云应用加固后的文件相关变化 加固后的文件列表变化: 新增2个so文件: libmain.so lib
FART彻底搞定函数抽取型壳
u014753748的博客
09-24 9051
FART原理剖析 一、App启动流程 这里以一张图说明App进程的创建流程: 通过Zygote进程到最终进入到app进程世界,我们可以看到ActivityThread.main()是进入App世界的大门,下面对该函数体进行简要的分析,具体分析请看文末的参考链接。 1 2 3 4 5 6 7 8 9 ...
Apk应用安全加固所需了解的Application启动流程
Ruger的博客
05-12 856
本文使用Android Q(API 29)版本源代码进行讲解 很多人认为Android应用加载入口是Application的onCreate,实则不然。当点击进入应用时,Zygote进程会fork出一个独立进程, 通过RuntimeInit#findStaticMain找到ActivityThread#main并在ZygoteInit#main中进行调用 // ZygoteInit#main public static void main(String argv[]) { .... ..
Linux 加固(centos7)
一个码农的笔记
08-20 1万+
(1)寻找空密码的用户: 首先root账户建立一个用户: useradd user (这样建立的用户的是不能直接用空密码登陆的) 然后root账户用passwd -d user 清除user的密码(这样就可以用空密码登陆了) 查找空密码的用户 awk -F: '($2==””){print $1}' /etc/shadow 这样我们找到这样的空密码的用户:user 给空密码账户上密码:
Apk瘦身、混淆、加固
Mr_Hu404的博客
08-30 1672
一、 apk的组成元素: resources.arsc:编译后的布局文件 assets:目录存放一些配置文件 lib:下的子目录armeabi存放一些so文件或者jar包 META-INF目录下存放的是签名信息,用来保证apk包的完整性和系统的安全 res:apk图片资源 AndroidManifest.xml:清单文件 classes.dex:是java
一个Android开发者自学Python的心路历程
李益
03-29 859
前言 本人主要从事Android开发,也做过微信小程序,有时还会在Java那边客串一把(谁让Android是用的Java呢@~@),最近在自学Python,已有半月有余。因近年来,技术迭代快速,前端更是层层爆发,单纯的Android或者IOS开发已经不足以应对市场变化,在这技术大潮下,成为一个复合型开发者就显得尤为重要,所以又去进行了微信小程序开发。然而,如果想要在一个项目中更彻底的了解项目架构与...
360加固之libjiagu.so dump修复
热门推荐
燕十二的BLOG
11-20 1万+
一、elfheader修复 dump出来的内存如下图所示,elf header结构有缺失 下面是正常elf头的对比图 下面是010editor对正常elf header的解析     由上图可知,dump出来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。    不过这里缺失的,除了e_shoff, e_shnum, e_sh
Android学习第十一篇:获取apk的函数调用图
Xunxianren007的博客
05-02 4240
获取android应用的函数调用图
APK瘦身:加固技术与优化策略
藏经阁的这份文档《从加固APK瘦身-16.pdf》主要探讨了在移动应用开发领域中如何优化APKAndroid Package)文件,以解决一些常见的问题。APK瘦身对于开发者来说至关重要,因为它可以显著减少应用的体积、降低下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值