对某APP的逆向之旅(3)

最新推荐文章于 2021-04-11 15:04:20 发布
最新推荐文章于 2021-04-11 15:04:20 发布
阅读量660 收藏
点赞数
分类专栏: android安全 文章标签: app hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fasfaf454/article/details/51645751
版权

书接上回,本次对前面解密后的so进行分析
来到start函数
这里写图片描述

进入主函数 sub_9960

首先创建本地socket,用于通信,然后while循环中,不断读取java层的消息,执行对应的功能函数。
创建socket的代码如下:

void __fastcall sub_9960(int a1, void **a2)
{
  ......
  ......

  port = atoi(&s);
  v6 = vars;
  socket = sub_A258("127.0.0.1", port);
  v8 = vars;
  *(_DWORD *)(v6 + 4) = socket;
  sub_A064(*(_DWORD *)(v8 + 4) > 0);
  pid = getppid();
  pid2 = pid;

循环处理的功能子函数如下:

void __fastcall sub_9960(int a1, void **a2)
{
  ......
  ......

      do
      {
        v16 = (_BYTE *)*v13;
        ++v13;
        v28 = *v16;
        v17 = (const char **)sub_9F40();
        v18 = v17;
        switch ( v28 )
        {
          case 35:
            sub_A198(*(_DWORD *)(vars + 4), v29);
            break;
          default:
            break;
          case 72:
            v28 = *(_DWORD *)(vars + 4);
            v24 = hook(vars, v17, v31);
            sub_A0B8(v28, (int)v24, 72);
            break;
          case 73:
            v28 = *(_DWORD *)(vars + 4);
            v23 = sub_ABF4();
            sub_A0B8(v28, v23, 73);
            break;
          case 98:
            v28 = *(_DWORD *)(vars + 4);
            v22 = sub_AC84();
            sub_A0B8(v28, v22, 98);
            break;
          case 99:
            v28 = *(_DWORD *)(vars + 4);
            v21 = sub_AAFC();
            sub_A0B8(v28, v21, 99);
            break;
          case 112:
            v28 = *(_DWORD *)(vars + 4);
            v20 = sub_AB34();
            sub_A0B8(v28, v20, 112);
            break;
          case 113:
            sub_AA90(vars);
            return;
          case 116:
            sub_B144(v17);
            break;
          case 117:
            v28 = *(_DWORD *)(vars + 4);
            v19 = sub_9FF0() != 0;
            sub_A0B8(v28, v19, 117);
            break;
        }
        ++v12;
      }
      while ( v12 != v15 );
      if ( !v18 )
        goto LABEL_3;
      free(v18);
      v31 = 0;
      memset(&buf, 0, 0x200u);
      socket2 = *(_DWORD *)(vars + 4);
      if ( socket2 > 0 )
        goto LABEL_4;
    }
  }
  else
  {
LABEL_4:
    if ( recv(socket2, &buf, 0x200u, 0) > 0 )
      goto LABEL_5;
  }
  sub_AA90(vars);
}

函数首先进入的是hook函数,该函数名是我自己修改的。
本次,我们主要分析该so函数的核心,hook的原理及实现。
来到hook函数,如下:

const char *__fastcall hook(int a1, const char **a2, int a3)
{
  int v3; // r4@1
  const char *result; // r0@2
  int v5; // r0@3
  int v6; // r2@3
  unsigned int v7; // r3@5

  v3 = a1;
  if ( a3 )
  {
    result = *a2;
    if ( *a2 )
    {
      v5 = atoi(result);
      v6 = *(_DWORD *)(v3 + 16);
      *(_DWORD *)v3 = v5;
      if ( v5 == v6 )
      {
        result = (const char *)1;
      }
      else
      {
        result = (const char *)hookmain(v5, (_DWORD *)(v3 + 12), dword_11B08);
        if ( result )
        {
          result = 0;
        }
        else
        {
          v7 = *(_DWORD *)(v3 + 12);
          if ( v7 > 0x8000 && v7 != -1 )
          {
            result = (const char *)1;
            *(_DWORD *)(v3 + 16) = *(_DWORD *)v3;
          }
        }
      }
    }
  }
  else
  {
    result = 0;
  }
  return result;
}

继续跟进

int __fastcall hook(int a1, _DWORD *a2, int a3)
{
  _DWORD *v3; // r5@1
  int v4; // r6@1
  int v5; // r7@1
  int v6; // r5@2
  char *v7; // r3@4
  char v9; // [sp+8h] [bp-80h]@1
  __mode_t mode; // [sp+18h] [bp-70h]@3

  v3 = a2;
  v4 = a1;
  v5 = a3;
  if ( stat(timescale_path[0], (struct stat *)&v9) )
  {
    v6 = -1;
  }
  else
  {
    *(_DWORD *)_errno() = 0;
    chmod(timescale_path[0], (mode | 4) & 0xFFFF);
    if ( v5 )
      v7 = "1";
    else
      v7 = "0";
    v6 = inject(v4, timescale_path[0], "init", v7, v3);
    chmod(timescale_path[0], (unsigned __int16)mode);
  }
  return v6;
}

可以看到,首先会修改文件的权限,然后进行注入。注意里面的函数名都是我分析后,自己修改过的
来到inject函数,代码片段如下:

 v21 = src + 15360;
    v22 = get_remote_addr(v10, linker_path[0], (int)&dlopen);
    v23 = get_remote_addr(v10, linker_path[0], (int)&dlsym);
    v24 = get_remote_addr(v10, linker_path[0], (int)&dlclose);
    dlopen_addr_s = v22;
    dlsym_addr_s = v23;
    dlclose_addr_s = v24;
    strcpy((char *)&unk_110DC, v28);
    dlopen_param1_s = (char *)&unk_110DC + v21 - (_DWORD)&inject_start_s;
    strcpy((char *)&unk_111DC, v5);
    dlsym_param2_s = (char *)&unk_111DC + v21 - (_DWORD)&inject_start_s;
    saved_hook_addr = 0x4A0 + v21;
    saved_cpsr_s = v56;
    unk_112DC = *(_DWORD *)&dest;
    unk_112E0 = v41;
    unk_112E4 = v42;
    unk_112E8 = v43;
    unk_112EC = v44;
    unk_112F0 = v45;
    unk_112F4 = v46;
    unk_112F8 = v47;
    unk_112FC = v48;
    unk_11300 = v49;
    unk_11304 = v50;
    unk_11308 = v51;
    unk_1130C = v52;
    unk_11310 = v53;
    unk_11314 = v54;
    unk_11318 = v55;
    saved_r0_pc_s = 0x2A0 + v21;
    v25 = strlen(s);
    memcpy(&unk_113DC, s, v25 + 1);
    inject_function_param_s = 0x3A0 + v21;
    write_remote_memory_main(v10, v21, &inject_start_s, 0x600u);
    memcpy(&src, &dest, 0x48u);
    v38 = v21;
    v39 = v21;
    v26 = sub_B410(v10, &src);
    sub_B5EC(v10);

前面为获取dlopen等系统函数的地址,这个没什么可说的,不明白的,建议上网找下hook注入方面的文章看看。
来到修改内存的函数write_remote_memory_main,如下:

signed int __fastcall write_remote_memory_main(int pid, int remote_clock_gettime, void *pMem, unsigned int length)
{
  int remote_clock_gettime1; // r11@1
  int pMem1; // r9@1
  unsigned int length1; // r4@1
  int pid1; // r8@1
  unsigned int v9; // r10@3
  int v10; // r7@3
  int v11; // r4@4
  int v12; // r5@4
  int v13; // r5@6
  int v14; // r3@8
  int v15; // [sp+4h] [bp-34h]@3
  __int32 dest; // [sp+Ch] [bp-2Ch]@5

  remote_clock_gettime1 = remote_clock_gettime;
  pMem1 = (int)pMem;
  length1 = length;
  pid1 = pid;
  if ( write_remote_memory1(pid, pMem, length, remote_clock_gettime) == -1 )// 第一种写入内存方式失败,则执行第二种写入内存的方式,采用的是ptrace方式写入
  {
    v9 = length1 >> 2;                          // v9 = 2
    v10 = remote_clock_gettime1;
    v15 = length1 & 3;
    if ( length1 >> 2 )
    {
      v11 = remote_clock_gettime1;
      v12 = 0;
      do
      {
        memcpy(&dest, (const void *)(v11 + pMem1 - remote_clock_gettime1), 4u);
        ++v12;
        ptrace(PTRACE_POKETEXT, pid1, v11, dest);// int ptrace(int request, int pid, int addr, int data);
                                                // PTRACE_POKETEXT, PTRACE_POKEDATA往内存地址中写入一个字节。内存地址由addr给出。
        v11 += 4;
      }
      while ( v12 != v9 );
      v13 = 4 * v12;                            // hook的前8个字节
      v10 = remote_clock_gettime1 + v13;
      pMem1 += v13;
    }
    if ( v15 )
    {
      dest = ptrace(PTRACE_PEEKTEXT, pid1, v10, 0);// 从内存地址中读取一个字节
      v14 = 0;
      do
      {
        *((_BYTE *)&dest + v14) = *(_BYTE *)(pMem1 + v14);
        ++v14;
      }
      while ( v14 != v15 );
      ptrace(PTRACE_POKETEXT, pid1, v10, dest);
    }
  }
  return 1;
}

其中采用了两种方式写入内存,分别为:利用修改/proc/pid/mem实现和利用ptrace实现。
下面看下第一种方式的实现:

ssize_t __fastcall write_remote_memory1(int pid, const void *pMem, size_t length, __off_t remote_clock_gettime)
{
  size_t v4; // r5@1
  const void *v5; // r6@1
  __off_t v6; // r7@1
  int fd; // r0@1
  int v8; // r8@1
  ssize_t v9; // r5@2
  ssize_t result; // r0@4
  char s; // [sp+4h] [bp-34h]@1
  int v12; // [sp+1Ch] [bp-1Ch]@1

  v4 = length;
  v5 = pMem;
  v6 = remote_clock_gettime;
  v12 = _stack_chk_guard;
  snprintf(&s, 0x18u, "/proc/%u/mem", pid);
  fd = open(&s, 1);
  v8 = fd;
  if ( fd == -1 )
  {
    v9 = -1;
  }
  else
  {
    lseek(fd, v6, 0);
    v9 = write(v8, v5, v4);
    close(v8);
  }
  result = v9;
  if ( v12 != _stack_chk_guard )
    _stack_chk_fail(v9);
  return result;

比较简单,直接修改/proc/pid/mem实现。
第二种方式,是通过inline hook系统函数的前8个字节实现的。
其实,还有第三种方式的,有时间再详细介绍吧

csky6688
关注
专栏目录
C++——Hook教程[1]:虚函数表(VMT)Hook
PP的秘密基地
12-07 4866
前言 虚函数表(VMT)Hook,又叫指针重定向,是一种常见的Hook技术,在游戏外挂程序中最常见。例如,使用VMTHook在Direct3D / OpenGL引擎游戏里实现内置叠加层。 虚函数表(VMT) 本文中VMT就代指虚函数表。 虚函数表是C++实现多态的一种方式。 每一个有虚函数的类(或有虚函数类的派生类)都有一个VMT,VMT本质上就是一个函数指针数组,通常位于对象内存布局的开头或结尾。每当C++类声明虚(virtual)函数时,编译器都会增加一个条目到VMT中。 例如,在x86系统上使用V
逆向APP基础扫盲
qq_42370150的博客
09-29 866
APK基本结构 解压后的安卓目录 目录名 意义 assets 资源文件(图片、音频、数据库、网页、配置文件等) res 资源文件,需要编译(布局)图片、图标、字符串、样式、颜色 lib 各种平台下使用的对应的so文件 libs 第三方包、存放so文件 META-INF APK签名文件 resources.arsc 资源加密(...
使用fastcall 代替汇编hook thiscall
banhanjun1518的博客
04-03 386
利用fastcall中ecx edx传递的特性,解决了ecx需要内嵌汇编才能实现hook thiscall函数的问题。 #include <stdio.h> #include <stdlib.h> #include <Windows.h> #include <string> #include "mhook-lib/mhook....
__stdcall,__cdecl和__fastcall的作用和区别
醉逍遥的博客
07-30 833
一、调用约定 被以下几个修饰关键字修饰的函数,其参数都是从右向左通过堆栈传递的(__fastcall的前面部分由ecx,edx传),函数调用在返回前要清理堆栈,但由调用者还是被调用者清理不一定。 1、__stdcall是Pascal程序的缺省调用方式,通常用于Win32Api中,函数采用从右到左的压栈方式,自己在退出时清空堆栈。VC将函数编译后会在函数名前面加上下划线前缀,在函数名后加上"@...
Android逆向之旅---逆向「某借款理财App第一版」防抓包策略
尼古拉斯.赵四的博客
05-08 810
​一、前言 最近在编码美丽小密圈里面有人问了最近很多app都做了应用防抓包策略,没法抓包了,这个最近我正好需要手机样本然后分析出现在大部分的应用的防抓包策略,整理说一下,当然前提需要先分析多个样本才能总结,所以就在小密圈里收到了很多人反馈的一些app,后续会对这些样本进行防抓包策略分析,今天首先来看一下这款借款理财应用的防抓包策略。 二、逆向抓包分析 首先我下载了最新的版本应用之后,按...
Android逆向之旅---爆破开启快手App的长视频拍摄权限功能
编码美丽
08-19 2068
一、功能说明在前几天有人问我快手发布了内侧发布长视频的功能,他找快手小助手申请了但是没有回复,所以我就有空通过代码层面让他有这个功能看看效果如何,这个其实网上已经有很多人...
Android逆向之旅---逆向「某借款理财App新版」防抓包策略
尼古拉斯.赵四的博客
05-19 952
​一、前言 之前已经介绍了某借款应用他的抓包策略防护,因为在小密圈里有人告知这个应用有一个抓包策略,抓不到数据包了,所以就分析的确他的最新版已经做了一些防护比如签名校验,Xposed防护等导致JustTrustMe插件以及之前介绍的升级版插件都用不了了,不过再怎么变他都是用的okhttp网络框架,设置ssl信息也就是那几个接口,但是因为现在Xposed插件没法用了,所以我们只能手动的去分析代码了...
Android逆向之旅---破解「某借款理财App最新版」防抓包策略
编码美丽
05-19 1403
一、前言之前已经介绍了某借款应用他的抓包策略防护,因为在小密圈里有人告知这个应用有一个抓包策略,抓不到数据包了,所以就分析的确他的最新版已经做了一些防护比如签名校验,Xposed防护等导...
ios-映客直播(群里人写).rar
07-11
1、提供学习视频swift、JAVA、HTML5、C 等学习视频,互相学习 共同勉励 2、包括工作内推、同城交流、提供上层学习资源BAT资料、面试题集锦/项目源码(非高仿)/逆向工程/实用demo等! 3、不会的可以互相学习,授鱼不如授渔! 4、技多不压身 5、新手做不出的功能 群里有专门接这一块的朋友,刚培训出来的找一份工作不易!且行且珍惜! 源码、demo、直播学习群号:190892815
apk逆向思路_某apk算法逆向分析过程之旅
weixin_32541663的博客
12-24 1167
某apk算法逆向分析过程对某app抓包时发现所有请求都进行了加密,便对加密算法简单分析了下。0x00在之前的app算法分析中都喜欢从登录处开始入手,但这次因为安装在模拟器 的 app 点登录后直接崩溃, so ,换了个入口点。 很 多 app 最终调用的算法函数名称存在 encrypt 、 decrypt 关键字, 用 jadx 反编译 apk , 全局搜索 关键字 "decrypt" 。打开 S...
对于HOOK函数的一点认识
jiangxinyu的专栏
03-16 6796
这种函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。当然,这么做也是需要付出一定的代价的。由于多了这么一道处理过程,系统性能会受到一定的影响,所以大家在必要的时候才使用“钩子”,并在使用完毕及时将其删除。  首先让我们看看HOOK函数是怎么安装、调用和删除的。应用程序通常是调用SetWindowsHookEx
有关(_DWORD *)的解释
半岛铁盒的博客
04-11 2952
在IDA反编译查看时,时常会看到(_DWORD *) 这里(_DWORD *)是对v6进行强制类型转化,,然后在提领指针 WORD占2个字节,DWORD占4个字节。 知道这一点,有助于我们写payload 知道溢出覆盖多少字节
斗鱼APP签名校验绕过
嘻哈包袱铺 专栏
01-10 4497
转载自:http://www.secbuff.com/ios/215.html?d=3 0×00 说明 斗鱼是自己非常喜欢的一家直播平台,由于经常在斗鱼看lol比赛,加上又是武汉的互联网企业,所以就逆向了下斗鱼,看能不能过签名校验。 首先我们正常登录APP,可以正常加载APP各种页面,登录的时候再尝试用QQ号登录,会正常来到授权页面。如下图: 0×01
七少月安卓逆向协议分析教程
qq_56260672的博客
03-19 762
七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_1-1分析 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_1-2调式 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_10-1 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_11-1 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_2-1分析 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_2-2调式 七少月安卓逆向协议分析教程-3安卓协议算法分析专训课_2-3算法还原 七少月安卓逆向协议分析教程-3安卓协议算法分析专训
某直播平台协议分析之一
cancanfairy的博客
12-12 7802
忙于工作,最近都很少登录看雪论坛。得为论坛做点贡献,写写文章,总是感觉词不达意,讲话都不流畅。最近各种直播平台都很火,移动互联网已经进入了直播时代。什么快手,映客,花椒,奇秀,斗鱼,熊猫都纷纷火起。作为一个逆向工程师,总想一窥其中的奥秘,看看里面有什么好玩的东西。 好吧。就以某直播平台为目标,假如触犯到你们的知识产权,很抱歉,先说声对不起。
类型转化:float -> DWORD
weixin_34117211的博客
10-25 763
#include<iostream> #include<windows.h> using namespace std; int main(void) { float f = 1.1 ; DWORD d1 = (DWORD)f ; DWORD d2 = *(DWORD *)&f ; cout << d...
Hybrid App技术解析 -- 原理篇
weixin_34259159的博客
07-18 361
引言 随着 Web 技术和移动设备的快速发展,Hybrid 技术已经成为一种最主流最常见的方案。一套好的 Hybrid架构方案 能让 App 既能拥有极致的体验和性能,同时也能拥有 Web技术 灵活的开发模式、跨平台能力以及热更新机制,想想是不是都鸡冻不已。。
某flutter-app逆向分析
最新发布
09-16
某flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析。逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值