直接开始吧,末尾有附件。
1. java层分析
常规操作添加了一个application的入口,并加载了壳so libSecShell.so.
当dex加载完后通过这两个函数进行真正的application替换。
大概看一下其他文件。
DexInstall
大概是根据不同的sdk,进行dex的加载;
Dex的一般加载流程为:
Java层:替换classLoader –> 初始化DexPathList –> makeDexElements -> loadDexFile-> DexFile.loadDex -> DexFile(构造函数) –>openDexFile(进入native层,返回值为一个dex的cookie);
Native 层 :一般分文件加载和内存加载,常在内存加载的地方进行dump,dvm下常用dvmRawDexFileOpenArray,dvmDexFileOpenPartial,libart下常用openMemory。
查看一下其他文件:
SecData0.jar猜测为dex经过加密后存储的地方。
根据梆梆之前的版本,大概流程应该是不变的,在so进行初始化init,init_array或Jni_OnLoad函数下进行dex文件的解密,然后通过反射调用java层的dex加载函数,在加载时会通过hook系统函数,进行迷惑,实现一定的反dump;
2. so分析
so init_array段中并无重要逻辑,猜测逻辑是现在Jni_Onload函数中,并通过一定的函数名,变量名混淆进行一定程度防逆向;以下出现的部分的函数名经过重命名。
在整个过程中,几乎所有字符串内容均经过一定的加密,通过图中decodeString进行解密。
对函数的流程进行了一定的混淆。
关键点1:通过动静结合大致确定反射调用java进行dex加载的地方。
分别在case 11 32进行调用
关键点 2:我们根据梆梆以往的版本猜测会进行hook系统函数,hook的过程大概是:先通过dlopen,dlsym拿到函数地址后,再进行inline hook,所以实现hook的函数大概要具备至少两个参数,hook的目标地址,以及hook后会跳转的真正地址。在本例中通过查看交叉引用确定hook实现的外层函数,通过传入so内存加载的句柄,关键函数名,以及实际替换地址为参数。
p0C83F9688A8E4CD1B67CEBCC1115F169即为hook实现的入口函数,我们大概确定了hook实现的外层函数,剩下的就是用动调去验证;
图中只为示例,实际在dvm环境下。
关键点 3:找出反调试
So中并未找到反调试明显的特征,动调通过dex加载前后确定反调试位置为:
_ZNK17ObfuscatedAddressIPFvcEE8originalEv静态如下
在静态分析中完全没有发现反调试的特征(可能是我太菜了没发现),BLX R3后启动了反调试线程,此处反调试通过ida启动线程的提示,以及刚好在dex加载的前后才发现(涨见识了)。
关键点 4:开始动态调试
在上述关键函数下断点,由于此次仅有一处反调试,并且在dex加载后开启的反调试,也可以提前对BLX R3指令进行nop,实测过掉了反调试。
如图发现了dvmRawDexFileOpen被hook,此处R2寄存器的值为实际实现地址。
经过几个case之后调用dvmRawDexFileOpenArray这个函数,此函数为dump dex的关键点。
我们还可以看到不仅hook dvm中的部分加载关键函数,并且hook了libc中的一些基础函数如下:
到此其实已经可以进行脱壳了。
3. 未完成的
在这次脱壳中,未完成的有 未精准找出对SecData0.jar进行解密释放dex的过程以及梆梆对于第一次加载以及之后已有缓存文件的条件下对dex的加载流程不同的分析,上述脱壳方法适用于未有缓存文件的情况下,不过上述两点均有部分提示信息,相信还是可以找出来的。
附件: https://pan.baidu.com/s/1RcG5ktdQYnyYA4GkkuPFgw 密码:kaqs
忙于找实习,大概很久没写过博客了,这几天试着脱了下梆梆的免费版就来更新一次。
虽然处处碰壁,但我还是会坚持,希望自己春招后有个好去处。
emmmm,匆忙间才写好的博客,鉴于有些坑可能并没有提到,欢迎加q1254553524,一起讨论,一起学习。
781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
