某车联网App 通讯协议加密分析(三) Trace Block

一、目标

之前我们已经用unidbg跑通了libencrypt.so，那么如何判断跑出来的结果是对是错？再如何纠正unidbg跑错误的流程，是我们今天的目标。

v6.1.0

二、步骤

找到明显的接口来判断

checkcode是加密，加密的结果确实不好判断是否正确。不过我们可以试试解密，能解密就是对的，简单粗暴。这里解密函数是 decheckcode 。

public void callB() {String strA = "FlK6XicivmCwPSE3sk6b71m9WbWd/gYZtlajqGXhEXXjmWEZziR51rVWSEDwUUi4UN9RnoCGbLNmqI80Fiog4Sw==";String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);String strOut = (String)ret.getValue();System.out.println("call decheckcode: " + strOut);
} 

跑一下，这个结果明显不对，死心了

call decheckcode: fac34ffa581987c7a1ffa5b876ca96ce 

分析问题

结果不对，肯定是过程不对。

那么解决方案就是 分析对比unidbg运行的流程和app运行的流程 有哪里有不同?

对比运行流程有三个粒度， 函数、代码块和代码。 (在ida里按空格，出现的流程图中的每个块就是代码块)

我们今天主要要对比 decheckcode函数，所以先从代码块的粒度来做Trace。

Trace Block

unidbg提供一个BlockHook，每运行到一个代码块就触发这Hook，我们就利用他来做Trace Block

// 保存需要用frida Hook的Block的地址
public static Map<Integer, Integer> subTraceMap = new HashMap<Integer, Integer>();
// 保存命中的Block地址的次数，命中次数太多的就忽略掉。
public static Map<Integer, Integer> calcMap = new HashMap<Integer, Integer>();

// 入参是so基地址， 需要Trace代码的开始地址和结束地址
private void traceBlock(final long baseAddr, final long starAddr, final long endAddr) {emulator.getBackend().hook_add_new(new BlockHook() {@Overridepublic void hookBlock(Backend backend, long address, int size, Object user) {// 代码块需要大于20个字节，块太小 影响 frida的 hookif (size > 20) {Instruction[] insns = emulator.disassemble(address, 4, 0);int iSize = insns[0].getSize();int iUseAddr = 0;if (iSize == 4) {// ARM模式 4字节iUseAddr = (int) (address - baseAddr);} else {// THUMB模式 2 字节 ，hook的时候 + 1 ，iUseAddr = (int) (address - baseAddr) + 1;}if (calcMap.containsKey(iUseAddr)) {// 保存命中次数int iValue = calcMap.get(iUseAddr);calcMap.put(iUseAddr, iValue + 1);// 4次以上的调用就不显示了, 也不用frida Trace了if (iValue > 3) {subTraceMap.remove(iUseAddr);} else {System.out.println("" + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");}} else {calcMap.put(iUseAddr, 1);subTraceMap.put(iUseAddr, 1);System.out.println("" + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");}}}@Overridepublic void onAttach(UnHook unHook) {}@Overridepublic void detach() {}}, starAddr, endAddr, 0);

} 

Trace Block结束之后，把命中的代码块地址都打印出来，用于在Frida中去hook

public void PrintHookSubInfo(){System.out.println("subTrace len = " + subTraceMap.size());String strOut = "";for (Map.Entry<Integer, Integer> entry : subTraceMap.entrySet()) {int iShow = entry.getKey();// 为了和unidbg显示一致这里处理下if(iShow % 2 != 0){iShow = iShow -1;}strOut = strOut + ",['sub_" + Integer.toHexString(iShow ) + "','0x" + Integer.toHexString((int)entry.getKey() ) + "']";}System.out.println(strOut);
} 

有了这两个函数就可以干活了

public void callB() {traceBlock(module.base,module.base,module.base+ module.size);...String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);...PrintHookSubInfo();
} 

在执行 decheckcode 之前去做Trace， 执行之后去打印所有命中的Block地址。

Tip:

这个样本没那么复杂，所以就直接Trace所有代码范围，讲究人是需要缩小范围，只Trace自己感兴趣的部分。

Find native function Java_com_bangcle_comapiprotect_CheckCodeUtil_decheckcode => RX@0x4002b1bc[libencrypt.so]0x2b1bcsub_2b1bcsub_2b20csub_2b238sub_2b254sub_2b270sub_2b28csub_2b2a8sub_2b2c4sub_2b2e0sub_2b2fcsub_2b318sub_2b334...

subTrace len = 127,['sub_21400','0x21400'],['sub_21c00','0x21c00'],['sub_22200','0x22200'],['sub_2b604','0x2b604']... 

Trace的结果出来了，命中的地址列表也打印出来了，一共命中了127个地址块。

frida Hook 对比

把命中的地址列表导入到frida里面去hook，然后就可以对比出来 unidbg跑的流程和App跑的流程的差别了。

function hook_suspected_function(targetSo) {const funcs = [['sub_21400','0x21400'],['sub_21c00','0x21c00'],['sub_...];for (var i in funcs) {let relativePtr = funcs[i][1];let funcPtr = targetSo.add(relativePtr);let describe = funcs[i][0];let handler = (function() {return function(args) {// console.log("\n");console.log(TAG + describe);};})();Interceptor.attach(funcPtr, {onEnter: handler});}
}


function traceNative() {var targetSo = Module.findBaseAddress('libencrypt.so');console.log(TAG +" Trace ############# libencrypt.so: " +targetSo);hook_suspected_function(targetSo);
}

// 然后在hookdecheckcode的时候打印Trace结果
Interceptor.attach(targetSo.add(0x2B1BC ),{onEnter: function(args){traceNative();var strCls = Java.use('java.lang.String');var strA = Java.cast(this.context.x2, strCls);console.log(TAG + "-------- decheckcode a = " + strA);},onLeave: function(retval){var strCls = Java.use('java.lang.String');var strRc = Java.cast(retval, strCls);console.log(TAG + "-------- decheckcode rc = " + strRc);}
}); 

对比结果

对比的方法比较low，先把unidbg Trace Block的结果复制到文本文件1，然后把frida hook打印的结果复制到文本文件2。 最后开启 Beyond Compare 来对比

1:cmp

过程虽然很low，但是结果可一点都不low，从对比的结果看，大家之前都是好朋友，不过 sub_18650 之后就开始分道扬镳了。

这时候就需要问问ida了。

1:fopen

这里fopen了一个文件，文件名是做了base64。

base64谁不会呢，随便写两行代码就可以解出来了 /proc/%d/cmdline

这又在考我们的android编程知识了，问了下谷哥，哥说了，这是在读进程名，对于apk来说，进程名就是他的包名。

回想在 unidbg中 有个不起眼的报错

[11:26:48 927]INFO [com.github.unidbg.linux.ARM64SyscallHandler] (ARM64SyscallHandler:1309) - openat dirfd=-100, pathname=/proc/2256/cmdline, oflags=0x0, mode=0 

这也是在提醒我们，读取进程名失败了。

重定向io

unidbg是支持这种情况的，先让 CaranywhereDemo 多继承一个 IOResolver 来做io重定向

public class CaranywhereDemoextends AbstractJni implements IOResolver<AndroidFileIO> {...public Caranywhere(String apkFilePath) throws DecoderException, IOException {...emulator.getSyscallHandler().addIOResolver(this);...}FileResult<AndroidFileIO> f1;public FileResult<AndroidFileIO> getF1(String pathname, int oflags) {if (f1 == null) {f1 = FileResult.<AndroidFileIO>success(new ByteArrayFileIO(oflags, pathname, "com.xxx.aeri.caranywhere".getBytes()));}System.out.println("new f1==" + pathname + "===" + vm.getPackageName());return f1;}@Overridepublic FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {System.out.println(pathname);if ("/proc/self/cmdline".equals(pathname) || ("/proc/" + emulator.getPid() + "/cmdline").equals(pathname)) {return getF1(pathname, oflags);}return null;}
} 

ok了，这几步又和App跑的一样了，大家又是好朋友了。

不过问题还是没有解决，跑出来的结果还是不对，木有解密成功。而且貌似这个app还有坑，hook点一多就摆烂，直接崩溃。

得找新武器对付它了，期待下一章的大结局吧。

三、总结

何以解忧，唯有Trace。

能下断点Debug的App，一定就逃不出手心了。所以现在App的关注点都是抵抗Debug，抵抗下断点。

结果不对，就和正确的结果去对比流程，跑的和你一模一样，总没毛病吧？

1:ffshow

凡说之难 在知所说之心 可以吾说当之

Tip:

: 本文的目的只有一个就是学习更多的逆向技巧和思路，如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担，和本文以及作者没关系，本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取，欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

ip:

本文的目的只有一个就是学习更多的逆向技巧和思路，如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担，和本文以及作者没关系，本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取，欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全，最新技术干货实时推送## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！