一次还原算法的另类途径——动态库引用

最新推荐文章于 2021-12-30 09:30:24 发布
最新推荐文章于 2021-12-30 09:30:24 发布
阅读量1.1k 收藏
点赞数
分类专栏: android协议分析 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/78788384
版权

一次还原算法的另类途径

一般来说我们还原算法,就要老老实实的静态分析,动态分析,有反调试就国反调试。不过我现在发现,现在的反调试越来越不好过了,加上还有部分签名验证等乱七八糟的东西。就真的让人苦闷了。本次我们另辟蹊径,我们不过反调试和签名验证。直接把关键算法的库给他扒出来,在我们自己的应用中分析。你这回没辙了吧。

关键算法位置

这个比较容易,静态分析直接上,没啥好说的,直接上代码

int __fastcall Java_com_xxxxxxxx_generateCheckToken(int a1, int a2, int a3, int a4)
{
  int v4; // r7
  int v5; // r4
  int v6; // r6
  int result; // r0
  int v8; // r5
  int v9; // ST00_4
  int v10; // [sp+4h] [bp-1Ch]

  v10 = a4;
  v4 = a3;
  v5 = a1;
  v6 = (*(int (**)(void))(*(_DWORD *)a1 + 676))();
  result = (*(int (__fastcall **)(int, int, _DWORD))(*(_DWORD *)v5 + 676))(v5, v10, 0);
  v8 = result;
  if ( !v6 )
    return 0;
  if ( result )
  {
    v9 = generate_checktoken(v6, result);
    (*(void (__fastcall **)(int, int, int))(*(_DWORD *)v5 + 680))(v5, v4, v6);
    (*(void (__fastcall **)(int, int, int))(*(_DWORD *)v5 + 680))(v5, v10, v8);
    result = (*(int (__fastcall **)(int, int))(*(_DWORD *)v5 + 668))(v5, v9);
  }
  return result;
}

中间过程

这里省略了我是如果寻找签名验证和反调试过程的,一句话总结,千万不要一股脑的静态分析。先要把思路理清,让我的程序吐出终端程序相关信息。

柳暗花明

正当我苦苦寻找绕过限制方法的时候,转念一向。既然关键算法都在so的库里,那我自己造个小程序来分析算法不久行了。干嘛非要在源程序里。于是有了一下的分析。
这里写图片描述
我们开始了工程,如图把动态库放到libs文件夹,这里我还造过jniLibs文件夹,在java目录下,但没有成功,所以就不说了。
app目录build.gradle改成这样

android {
    compileSdkVersion 25
    buildToolsVersion "25.0.2"
    defaultConfig {
        applicationId "com.example.administrator.testcso"
        minSdkVersion 15
        targetSdkVersion 25
        versionCode 1
        versionName "1.0"
        ndk{
            moduleName "MathKit"

            ldLibs "log"

            abiFilters "armeabi","armeabi-v7a","x86"
        }
        testInstrumentationRunner "android.support.test.runner.AndroidJUnitRunner"
        externalNativeBuild {
            cmake {
                cppFlags "-frtti -fexceptions"
            }
        }
    }
    buildTypes {
        release {
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
        sourceSets{
            main{
                jniLibs.srcDirs = ['libs']
            }
        }
    }
    externalNativeBuild {
        cmake {
            path "CMakeLists.txt"
        }
    }
}

gradle.properties添加一句
org.gradle.jvmargs=-Xmx1536m
android.useDeprecatedNdk=true
上面一句本来就有。

package com.sxxx.wxxxxx;

/**
 * Created by Administrator on 2017/12/12.
 */

public class Wxxxxxxxxtion {
    static {
        System.loadLibrary("utility");
    }
    public  native String generateCheckToken(String paramString1, String paramString2);
    public  String getchecktoken() {
        String result = "";
        return generateCheckToken("6140757656", "3C734D407E22A7B7DB0EBAFC8755D647A071CC80");
    }

}

自己造个类如图,要符合ndk调用规则。
主类很简单,

    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        final TextView calview;
        Button calbutton;
        calbutton=(Button)findViewById(R.id.bt_calc);
        calview=(TextView)findViewById(R.id.tv_calc);
        calbutton.setOnClickListener(new View.OnClickListener(){
            public void onClick(View v){
                String str="点击事件";
                WeiboApplication tokenob=new WeiboApplication();
                str=tokenob.getchecktoken();
                calview.setText(str);
            }
        });
    // Example of a call to a native method
    TextView tv = (TextView) findViewById(R.id.sample_text);
    tv.setText(stringFromJNI());
    }

添加成这样。

好编译,安装,成功。别急,还没完。

修改库文件的出事化函数

虽然似乎大功告成,但事实告诉我,我的程序在点击了按钮时间后,并没有成功运行。这里写图片描述
这里是调试信息,经过这次我感悟到,凡是异常退出,必须要找类似这种信息,瞎猜根本没用。
我们看下:其实这里是因为加载不到动态库,我们的动态库函数还没调用,也就是肯定在jni_load函数开始的地方就发生了异常。
其实这里的异常信息并没有截取全面,因为是后来截取的:

.text:0000306C 20 1C                       MOVS    R0, R4
.text:0000306E 79 44                       ADD     R1, PC          ; "com/sina/weibo/WeiboApplication"
.text:00003070 2A 1C                       MOVS    R2, R5
.text:00003072 06 23                       MOVS    R3, #6
.text:00003074 FF F7 CE FF                 BL      registerWeiboNativeMethods
.text:00003078 00 28                       CMP     R0, #0
.text:0000307A 0B D0                       BEQ     loc_3094
.text:0000307C 0A 49                       LDR     R1, =(aComSinaWeiboDa - 0x3088)
.text:0000307E 2A 1C                       MOVS    R2, R5
.text:00003080 48 32                       ADDS    R2, #0x48 ; 'H'
.text:00003082 20 1C                       MOVS    R0, R4
.text:00003084 79 44                       ADD     R1, PC          ; "com/sina/weibo/data/sp/EncryptSharedPre"...
.text:00003086 02 23                       MOVS    R3, #2
.text:00003088 FF F7 C4 FF                 BL      registerWeiboNativeMethods
.text:0000308C 00 28                       CMP     R0, #0
.text:0000308E 01 D0           
signed int __fastcall JNI_OnLoad(int a1, int a2, int a3)
{
  int v3; // r4
  signed int result; // r0
  int v5; // [sp+4h] [bp-14h]
  int v6; // [sp+8h] [bp-10h]

  v6 = a3;
  v5 = 0;
  if ( !(*(int (**)(void))(*(_DWORD *)a1 + 24))()
    && (v3 = v5, registerWeiboNativeMethods(v5, "com/sina/weibo/WeiboApplication", off_9044, 6))
    && registerWeiboNativeMethods(v3, "com/sina/weibo/data/sp/EncryptSharedPreferences", off_908C, 2) )
  {
    result = 65540;
  }
  else
  {
    result = -1;
  }
  return result;
}

进过不断的实验,发现有两点可疑,函数的返回值。可能错误返回-1就没法加载了。
用010edit把这里改一下,其实这里分析了半天不知怎么改:

ext:00003080 48 32                       ADDS    R2, #0x48 ; 'H'
.text:00003082 20 1C                       MOVS    R0, R4
.text:00003084 79 44                       ADD     R1, PC          ; "com/sina/weibo/data/sp/EncryptSharedPre"...
.text:00003086 02 23                       MOVS    R3, #2
.text:00003088 FF F7 C4 FF                 BL      registerWeiboNativeMethods
.text:0000308C 00 28                       CMP     R0, #0
.text:0000308E 01 D0                       BEQ     loc_3094
.text:00003090 02 48                       LDR     R0, =0x10004
.text:00003092 01 E0                       B       locret_3098
.text:00003094             ; ---------------------------------------------------------------------------
.text:00003094
.text:00003094             loc_3094                                ; CODE XREF: JNI_OnLoad+12↑j
.text:00003094                                                     ; JNI_OnLoad+2A↑j ...
.text:00003094 01 20                       MOVS    R0, #1
.text:00003096 40 42                       NEGS    R0, R0
.text:00003098
.text:00003098             locret_3098                             ; CODE XREF: JNI_OnLoad+42↑j
.text:00003098 3E BD                       POP     {R1-R5,PC}
.text:00003098             ; End of function JNI_OnLoad

这个函数错误会往下跳到loc_3094,如何才能不让它执行。把他改成movs r0,#1改成ldr r0,=0x10004
事实证明,汇编不是我想怎么改都可以的,这里的代码很难直接改成其他复制语句,偶然发现0000连续4个零,是mov r0,r0
来点暴力的,把所有B loc_3094 都改成mov r0,r0;
哈哈。保存。
运行,哈市不行。这次的提示不贴了,但大致是说找不到库com.sixx.xxxx.wxxxxxxxplication里面的scalcutes函数,这是啥函数,我保证我没掉过。后来发现这个函数是jni_load里面的registerWeiboNativeMethods(v5, “com/sina/weibo/WeiboApplication”, off_9044, 6)里调用的,而这个off_9044就是这个函数的名字,反编译没直接替换过来。

带着很多的无望,我把调用registerWeiboNativeMethods的函数全部,全部换成mov r0,r0

经过更改,最终编程了这样

signed int __fastcall JNI_OnLoad(int a1, int a2, int a3)
{
  int v4; // [sp+4h] [bp-14h]
  int v5; // [sp+8h] [bp-10h]

  v5 = a3;
  v4 = 0;
  (*(void (**)(void))(*(_DWORD *)a1 + 24))();
  return 65540;
}

010保存一下,放到libs下每个文件夹里,ok.
重编译,成功。算法运行。

inquisiter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ida pro so文件f5后伪c后的 jni函数优化
大老的逆向专栏
09-30 4351
ida pro so文件f5后伪c后的 jni函数优化 自己写的原创工具生成的伪c代码进行处理以下是部分结果的例子 int __fastcall Java_com_esun_util_libc_JNINativeInterface_getRewardOptimizeResult(int a1, int a2, int a3, int a4, int a5, int a6) {   in
简单逆向6(安卓,算法逆向,os)
m0_49936845的博客
08-16 415
先了解一个关键字 NATIVE 静态链接 首先用jeb打开: 找到MainActivity(Tab反汇编): package com.sec.ctf2; import android.app.Activity; import android.os.Bundle; import android.view.View$OnClickListener; import android.view.View; import android.widget.Toast; public class MainActivit
Android reverse 攻防世界 easyjni
XFox_的博客
09-05 254
easyjni 模拟器打开界面 JEB打开MainActivity,发现调用了a方法 而a方法又调用了a类 a类很明显是base64改变的,有了新的解码表,缺少了对比的字符串,我们转回MainActivity,找到一个id:0x7F0B0075 public class a { private static final char[] a; static { a.a = new char[]{'i', '5', 'j', 'L', 'W', '7', 'S', '0',
XCTF_MOBILE7_easyjni
一个热爱逆向,喜爱学习、分享的猿。
12-30 508
初识 附件为一个apk,先拖到模拟器看看,结果报错: 百度一下错误信息,原因是:安装的APP中使用了与当前CPU架构不一致的native libraries。 我的CPU是Intel的,为了模拟器运行速度快,我创建的模拟器使用的是x86指令集: 而一般手机都是ARM指令集的,所以我重新创建了一个ARM指令集的模拟器: 在这个新模拟器下,apk就能成功安装了。 apk的主界面如下: 随便输入一个字符串,点击CHECK,结果为: 直接运行程序,我们能获得的信息就...
android游戏编程之从零开始_Android算法逆向学习笔记之2016腾讯游戏安全移动赛题Tencent2016A(含注册机)...
weixin_39942191的博客
11-24 140
听说这个是这个题是2016年腾讯游戏移动安全赛的题主要是注册机的编写以前自己学习拿来练习ARM汇编和算法逆向的自己写的ARM的汇编的就不贴了 这里主要是F5后的java层定位关键点夜神模拟器安装apk,输入name和code: 打开Androidkiller搜索字符串Check Fail! 找到关键点,发现了一个NativeCheckRegister找到NativeCheckReg...
存储管理——动态分区分配算法
12-13
操作系统课设做的动态分区分配算法。第一次上传资源,做的有些乱,献丑了,其中循环首次循环和最佳、最坏分配算法其实只是从首次适应算法改了一点东西。 补充几句,是JAVA做的,分配和回收算法都有,使用数组实现
操作系统——实验五 动态分区分配算法的模拟
08-05
用C/C++实现一个完整的(可变)动态分区管理器,包括分配,回收,分区碎片整理等。希望同学们实现如下功能: 初始化功能:内存状态设置为初始状态。 分配功能:要求至少使用两种算法,用户可以选择使用。 回收...
数据结构、算法与应用——C++语言描述.rar
07-25
《数据结构、算法与应用——C++语言描述》是一本深入探讨计算机科学核心领域的经典教材。数据结构和算法是编程的基础,它们对于理解和优化程序性能至关重要。本书通过C++语言来阐述这些概念,使得读者能够更好地掌握...
代码 基于遗传算法的优化计算——建模自变量降维代码
06-04
代码 基于遗传算法的优化计算——建模自变量降维代码代码 基于遗传算法的优化计算——建模自变量降维代码代码 基于遗传算法的优化计算——建模自变量降维代码代码 基于遗传算法的优化计算——建模自变量降维代码代码...
算法图解】——狄克斯特拉算法
01-20
文章目录狄克斯特拉算法实现算法节点实时计算消耗的权重存储父节点记录遍历过的节点找到最小权重的节点狄克斯特拉算法 狄克斯特拉算法 加权图——提高/降低某些边的权重 加权图:“边”上有了权重(例如:时间) ...
APK调试
kernweak的博客
06-22 6192
源码的情况下,对APK的动态调试主要分为两种: smali汇编动态调试 arm汇编动态调试 Smali汇编动态调试 对smali汇编的动态调试主要分为两种: 使用ida进行调试 使用IDE + apktool进行调试 Eclipse + apktool Android studio + apktool Idea + apktool … 使用jeb2.2以后版本调试 IDA 调试smali ...
解析 GetRerootedSIL
心想事成
12-14 634
解析 GetRerootedSIL       GetRerootedSIL( class`anonymous namespace'::CNtStoreCreationParameters const &, classWindows::Auto *)       //----- (1011F3CE)----------------------------------------
C++中_cdecl _stdcall _fastcall _thiscall函数调用总结(对照汇编代码)
jrl137824675的专栏
03-08 1030
首先,我们要学会在Visual Studio 2008中学会查看C++代码对应的汇编代码。 给程序添加断点并开始调试程序后,对文件中间右键=》转到反汇编,即可看到汇编代码。 汇编代码用//注释,说明用/**/注释,分别使用基本数据类型、数组、指针、引用四种数据类型的参数进行比较,代码如下: #include <iostream> using namespace std...
E2034 Cannot convert void (_fastcall * (_closure ) (TCustomGridEh *, TGridEhCellMouseEvent
ksrsoft的专栏
01-07 2116
  void __fastcall TForm3::FormCreate(TObject *Sender) {  this->DBGridEh1->OnCellMouseClick = myDBGridEh1CellMouseClick; } void __fastcall TForm3::myDBGridEh1CellMouseClick(TCustomGridEh *Grid, 
安卓逆向签名分析
抚琴
02-05 819
例一 用jadx打开app1 分析Java代码层; package com.bug.bt; import adrt.ADRTLogCatReader; import android.app.Activity; import android.app.AlertDialog; import android.content.pm.PackageManager; import android.os.Bundle; import android.os.Handler; import android.os.Mess
c语言中int和void,关于指针:void(*)void和int(*)int在C中的含义是什么?
weixin_42504214的博客
05-18 1627
本问题已经有最佳答案,请猛点这里访问。任何人都可以在C中解释这两行代码:void (*pfs)(void) = &fs;long int (*pfact)(int) = &fact;这些是函数指针请参阅C中的函数指针如何工作?C中的"void(* f)(void)"是什么意思应该搜索SO而不是google;)此语法定义函数指针。您可以像这样使用它们:void a() {//do s...
相位恢复算法(Phase Retrieval)
热门推荐
wyw921027的博客
08-03 2万+
相位恢复算法的分类 (1)光学测量 就测量方法而言,可以建立一个光学系统来实现它,如建立一个Hilbert变换系统,或建立一个Gerchberg-Saxton反馈回路等。也可以避开数字算法的思想,直接设计一个试验系统来测量相位因子,如利用高阶光学相关,或者利用四波混频技术产生一个镜像光场等, (2)数字算法 由光强反复迭代得到相位分布的方法(GS算法、IFT算法、及杨顾算法) 通过解光强
全面解析:数据结构与算法实战——动态规划、回溯、贪心
"这是一份全面的数据结构与算法试题集,涵盖了1000多页的内容,包括动态规划、回溯算法、贪心算法等多种重要算法,并涉及BFS、DFS、滑动窗口、双指针、栈、链表等基础知识。这份资料适合于准备面试或者自我提升的IT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值