手脱定制版的android SO UPX壳

转自:https://bbs.pediy.com/thread-221997.htm

一 前言


       加固厂商SO的加壳,一般都是采用UPX壳实现的。如果用原生的进行加壳,可以使用原生UPX进行脱壳。但是对于定制的UPX壳使用原生UPX是无法脱壳的。定制版的UPX一般有以下2种形式:

   

       1  将里面的魔术字符串改掉。下图是UPX源码中定义的魔术字以及修改后的例子:


                                  源码中的魔术字                                                                                           修改后的例子

                   

                 2 加密算法改掉或数据结构进行更改。  

                  这里讨论是如何手脱一个定制的UPX壳,尤其是更改加密算法或者数据结构的定制的UPX壳(以AJM为例)。先看一下脱壳后的样子:
          
                                                             脱壳前                                                                                                               脱壳后
                        
                 

二  UPX壳loader

        加壳一般需要加密和解密2个过程,UPX壳也不例外。UPX壳的解密是由 upx loader实现的。在UPX加壳过程中,将loader放在init段,确保loader先获得程序执行的控制权。

        Loader程序是由汇编代码实现的,下面是upx源码中针对arm平台的汇编代码:

                                                          
        在 dynamic段中,init标志值为:0x0C,见下图:
                                                            

        下面是loader在dynamic中的位置:

                                                                      

        当loader开始运行时的步骤如下:

                                                             

        从loader执行流程可以看到如下:

        1、loader是由汇编代码内嵌实现的,因此要解决重定位的问题,所以其中的函数调用都是使用系统调用实现的,比如mmap 以及mprotect等函数。        

        2、loader 程序要将加密数据解密,解密后的数据要覆盖加密数据。

        3、由于upx使用的是压缩算法,因此解密后的数据会比加密的数据大,此时loader程序也会被解密后的数据覆盖,所以loader在解密前要拷贝到内存中执行。


三  linker加载so

       Android系统的linker加载是通过dlopen函数实现的。以4.4源码为例如下:

                                                               

四  手脱UPX壳的原理

        前面说加壳一般需要加密和解密2个过程,UPX壳也一样。我们手脱指的是不用研究加密算法,动态脱壳。当upx的loader执行完后,代码也解密完成了,并且加密的数据被解密后的数据覆盖,是否可以直接在这个时间点,将SO从内存中dump出来就可以了呢?

       

        确实可以在这个时间点将so从内存中dump出来,但是只有这样是不行的,需要解决以下4个问题:

             ●  由于此时代码已经重定位完成,dump后plt段等信息已经包含了重定位后的信息,也就是绝对地址,此时静态用IDA打开,很多函数都无法识别。

             ●  Segment段中的Load段需要恢复,UPX加密后将原始的load段的大小由原来的加密前的大小改成了加密后的大小,因此需要修复。

             ●  Segment段中的 dynamic段在文件中的偏移需要修复。UPX将dynamic在文件中的偏移改变了。

             ●  section 段修复。对于section段的修复论坛里面有很多,这里就不讲了。

        因此解决了前面三个问题就可以实现手脱UPX壳了。

       

1 解决重定位的问题

        我们的目标是手脱UPX壳,因此我们可以将linker中执行重定位代码nop掉,就是不让linker执行重定位的操作,自然PLT等段中就不会带有重定位的信息。

        通过前面分析linker加载so的过程,soinfo_link_image调用soinfo_relocate实现重定位,下图是源码中相关调用:

                                                                      

       下面是在linker中的对应的汇编代码( 对于如何找到对应汇编代码,只要在IDA中搜索字符串“[ relocating %s plt ]”就可以找到):

                                                                            

        直接将上面的对sub_1464函数改成对应的”c0 46 c0 46”(thumb nop指令) 就可以。我们知道如果SO本身又调用了其他的SO,此时会优先加载其他的SO,因此注意nop的时机,避免将不是UPX壳的其它SO重定位也执行不了。

 

2 如何恢复segment段的load的大小

        我们知道upx壳的loader会对加密的数据进行解密,解密后的数据大小,就是对应load段的大小。

下面是UPX壳部分数据排列顺序:

                                                    
        下面是对应SO文件init入口数据:
                                                     

       l_info p_info b_info结构大小都为12个字节,如下:

                                                           

        根据上面的loader地址我们知道第一个l_info结构的地址为0x6508。见下图:

                                                               


       我们先不关心l_info和p_info结构,我们只关心b_info结构。对于b_info结构,第一个成员是压缩前的大小,第二个成员是压缩后的大小。因此我们可以通过b_info获取到被压缩数据的压缩前的大小:

       从上图可知,第一个b_info结构对应的压缩块:

               ● 压缩的前大小为:0x154

               ● 压缩后大小为0xA2

      这个块是对应ehdr和phdr的,我们跳过这个块,到达第一个load段对应的b_info结构。其地址为 :0x652C+0xA2 = 0x65CE,见下图:

                                                              

       从上图中对应的b_info结构,我们知道第一个load段压缩前大小为:0XDDC58


3 内存dump的时机

        我们必须在UPX解密后,并执行原始SO的init前进行dump。因此我们就在linker执行完第一个init函数,也就是upx的loader函数后开始dump。因此断点的位置下图中的0x274A位置:

                                                                   

4 修复load段

                                                                  

       将上图中第一个load段的0x8B290改为我们之前获得0Xddc58。同时将第二个段的文件偏移和虚拟地址偏移改成一样,都为E5C60。

 

5 修复dynamic段

       对于UPX壳,原始的dymic段的文件位置被修改了,但是对应加载后的内存的位置并没有修改,因此我们直接将其在文件中的偏移改成与内存偏移一致就OK。如下图: 

                                                                   

      将0x8E888改成0xE6888。


四 总结

        1 将linker中的 soinfo_link_image函数中对soinfo_relocate调用 NOP(避免重定位造成内存dump后IDA分析问题)

        2 在upx init(loader)入口处找到第一个l_info地址,从而获取到第一个b_info结构地址;

        3 跳过第一个b_info对应的压缩数据块,到下一个压缩段的b_info;

        4 从b_info结构中获得压缩前的大小;

        5 执行完upx的解压后,从内存中dump UPX壳;

        6 将第一个load段的文件大小 虚拟地址大小,物理地址大小都改成压缩前的大小;

        7 将第二个段的文件大小,虚拟地址大小,物理地址大小都改成相同;

        8 将dysmic修正(将文件偏移改成与虚拟地址偏移一致);

        9 将sht清0(后者在文件结尾找个位置,同时将sht_size清0)。(也可以根据dynamic修复)。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值