Android逆向——Android逆向进阶(1)

最新推荐文章于 2023-04-20 17:13:01 发布
最新推荐文章于 2023-04-20 17:13:01 发布
阅读量1.7k 收藏 6
点赞数
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/79334942
版权

0x00 前言

有价之宝:戳这里
无价之宝:戳这里

说明

最近同步分析ELF文件格式分析。
本文在大佬教学后进行笔记整理以及个人体会进行一个记录。

ELF文件格式分析(1)

内容

1.so文件保护学习
2.自动吐出校验码
3.栈跟踪
4.adb简单调试

0x01 so文件学习分析。

准备好我们的demo

反编译

查看lib文件夹

这里写图片描述

我们找到了一个关键的so文件。这个so文件的含义就是壳的含义。

egis.so逻辑分析。

打开ida。

这里写图片描述

这里有一个知识点。

JNI_OnLoad 的执行优先级是高于其他java输出函数。所以这里so文件就会执行这个函数,双击进行跳转。

分析

JNI_OnLoad

当Android的VM(Virtual Machine)执行到C组件(即*so档)里的System.loadLibrary()函数时,
首先会去执行C组件里的JNI_OnLoad()函数。

 EXPORT JNI_OnLoad
LOAD:00001D28 JNI_OnLoad                              ; DATA XREF: LOAD:000003B4↑o
LOAD:00001D28
LOAD:00001D28 ; FUNCTION CHUNK AT LOAD:00001818 SIZE 00000018 BYTES
LOAD:00001D28
LOAD:00001D28                 PUSH            {R4-R7,LR}
LOAD:00001D2A                 SUB             SP, SP, #0x14
LOAD:00001D2C                 STR             R1, [SP,#0xC]
LOAD:00001D2E                 STR             R0, [SP,#8]
LOAD:00001D30                 BLX             getpid
LOAD:00001D34                 LDR             R1, =(aLibegisSo_0 - 0x1D3C)
LOAD:00001D36                 LDR             R4, =(off_5F50 - 0x1D42)
LOAD:00001D38                 ADD             R1, PC  ; "libegis.so"
LOAD:00001D3A                 BL              sub_15CC

在so文件里看到一个so的文件名。

 "libegis.so"

这个就是自己本生的so名称,也就是说这里是自己调用了自己。

按f5进行查看。

这里写图片描述

发现这里进行一个调用。

进行上下文检查,发现了关键字符串

这里写图片描述

那么这个so的逻辑就是自我检测。

但是有一个问题就是这个so文件没有和java层进行交互,如果和java层不进行交互的话,那么这个so就没有意义。

但是还有一个可能就是这个so和其他的so有一定的联系。

egis_security.so分析

我们接着打开 IDA进行egis_security这个so的分析

来看一下输出表。

这里写图片描述

这里就是java层的输出函数。

名称PayegisBarcode_decode,getZbarSoVersion

这里就是说这个so很有可能就是保护另外一个so文件的检验。

总结

那么就是说 egis.so 自身保护自己。然后通过egis_security和java层进行交互,并且保护so。

相当于egis_security做了一个中间量,并且对进行交互的so进行了一个交互。egis.so 则是通过间接交互,来实现它的功能。

0x02 自动吐出校验码

demo测试

这里写图片描述

反编译 分析

if-eqz v3, :cond_2

    .line 43
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u6ce8\u518c\u7801\u6b63\u786e"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

    goto :goto_0

    .line 45
    :cond_2
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u6ce8\u518c\u7801\u9519\u8bef"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

    goto :goto_0
.end method

这里我们找到了一个相关的地方。
其实这个是重新写的,我作死,就没了。
不想啰嗦了。

向上查看。

invoke-virtual {v1, v0}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z

这里发现是两个寄存器的值进行比较。

v1和v0

我们继续向上看,v1存的是什么东西。

invoke-virtual {v1}, Ljava/lang/String;->length()I

我们找到这样一句话。

这句话就是说v1.length.计算字符串的大小。

为什么要计算大小呢?

if-nez v3, :cond_1

    .line 38
    :cond_0
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u8bf7\u8f93\u5165\u7528\u6237\u540d\u4e0e\u6ce8\u518c\u7801"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

下面有判断说:如果是0的话就输出请输入XXX就是没有的意思,那么我们就知道v1寄存器里存的是我们输入的东西。

相对的v0,就是和我们输入比较的东西,也就是我们要输出的寄存器。

插入代码

 invoke-static {v0}, Lcom/android/killer/Log;->LogStr(Ljava/lang/String;)V

我们输出v0寄存器里的值就可以了。

测试

这里写图片描述

0x03栈跟踪

demo 测试

这里写图片描述

反编译分析

反编译之后找到这个位置。

.method private c()V
    .locals 2

    .prologue
    .line 27
    const-string v0, "who called me?"

    const/4 v1, 0x0

    invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v0

    invoke-virtual {v0}, Landroid/widget/Toast;->show()V


    .line 29
    return-void
.end method

这个的含义就是让你去判断是谁调用了c。

那么我们就要进行一个对栈进行打印了。

堆栈打印

 new-instance v0, Ljava/lang/Exception;

    const-string v1, "HAI-------print trace"

    invoke-direct {v0, v1}, Ljava/lang/Exception;-><init>(Ljava/lang/String;)V

    invoke-virtual {v0}, Ljava/lang/Exception;->printStackTrace()V

通过这四句来对堆栈进行一个打印。

回编译测试

这里写图片描述

这里输出结果就是 c,b,a。

但是栈有一个特点就是先进后出。

所以正确的顺序就是 a,b,c

所以很明显就是 a调用b,b调用c。

0x04 DDMS方法追踪

工具说明

夜神模拟器

first adb命令

首先进行连接adb

adb connect 127.0.0.1:62001

这里写图片描述

然后使用adb shell进行检测

这里写图片描述

这样就是连接成功了。

我们使用adb进行apk的安装

这里写图片描述

打开ddms。

这里写图片描述

second ddms调试

因为虚拟机有问题,所以这里使用真机进行测试。

真机打开软件。

首先建立过滤规则。

这里写图片描述

进行简单过滤设置。

这里写图片描述

选择进程,然后点击这个按钮

这里写图片描述

点击之后,运行 软件,单击按钮。然后停止,进行抓取。

这里写图片描述

在这里我们可以清楚的看到软件的运行过程。

onclick

然后 a

然后b

然后c

0x05 结束语

收获

1.知道了一种常见的保护逻辑。
2.基本的打印输出
3.知道了如何栈跟踪
4.ddms调试详细跟踪

以上

王嘟嘟_
关注
Android 逆向apk程序的心得
Zy的技术心得
08-12 2万+
本文主要介绍如何逆向一个Android的APK应用程序,也即是破解一个apk程序,本文提供的方法仅供研究学习之用。 本文需要用到的工具有jdk 这个用于搭建java运行环境AXMLPrinter2.jar  这个用于逆向.xml文件baksmali.jar 这个用于逆向classex.dex文件由于Android的.apk文件实际上就是一个zip文件可以直接用winrar打开如下图所示:用rar打开之后 我们可以看到该文件实际上是一个zip包 里面包含了META-INF文件夹,这个文件夹是用于保存签名文件
Flutter开发之——AndroidView,整理出Android逆向系列学习进阶视频
m0_66264798的博客
02-16 387
2.6 嵌入Flutter void main() => runApp(PlatformViewDemo()); class PlatformViewDemo extends StatelessWidget { @override Widget build(BuildContext context) { Widget? platformView(){ if(defaultTargetPlatform == TargetPlatform.android){ return AndroidView( vie
Android无需权限显示悬浮窗, 兼谈逆向分析app
Stevefat
01-08 894
作者:Shawon 前言 最近UC浏览器中文版出了一个快速搜索的功能, 在使用其他app的时候, 如果复制了一些内容, 屏幕顶部会弹一个窗口, 提示一些操作, 点击后跳转到UC, 显示这个悬浮窗不需要申请android.permission.SYSTEM_ALERT_WINDOW权限. 如下图, 截图是在使用Chrome时截的, 但是屏幕顶部却有UC的view浮在
第一节 简单的一个扫盲
程序员入门进阶
01-21 1573
玩过win PE破解的,都知道一个逆向破解,去查看汇编语言,然后插入自己的代码,保持堆栈平衡,修改逻辑代码,然后保存,完成破解过程。安卓里面的这个汇编语言就是smali,修改它来改变原本程序逻辑的过程,称之为 插桩。比起win PE 的难度,smali的插桩比较简单,因为我们修改的是系统架构的jar apk文件,这些文件是不能混淆的,因为三方的是需要这些,因此相对于混淆的apk来说,明文太多,对
Smali--Dalvik虚拟机指令语言-->【android_smali语法学习一】
jandroid
12-15 996
最近一周在研究rom移植,所以就对Smali语言学习了一下,Smali语言其实就是Davlik的寄存器语言;Smali语言就是android的应用程序.apk通过apktool反编译出来的都有一个smali文件夹,里面都是以.smali结尾的文件,文件的展示语言。 转载请标明出处:http://blog.csdn.net/wdaming1986/article/details/8299996 ...
android逆向进阶,Android逆向——Android逆向进阶(2)
weixin_32199977的博客
06-01 106
0x00 前言有价之宝:戳这里无价之宝:戳这里说明最近同步分析ELF文件格式分析。本文在大佬教学后进行笔记整理以及个人体会进行一个记录。并且以后的博客中可能会使用英文,顺便对英文进行一个练习。然后可能会将一些文字用英文代替。相信你们会见证我的成长。ELF文件格式分析(1)内容1.实例练习。使用软件调试器。0x01 实例练习The first step对demo进行签名,然后安装测试。Here we...
快速从入门——整理出Android逆向系列学习资料
最新发布
m0_64365896的博客
04-20 414
新技术层出不穷,去年kotlin到如今Flutter,技术迭代,你是否会变得固步自封?**那么看本篇文章帮你解决问题,让你知道怎么样学习,学习那些技术点才能不被时代的迭代快速淘汰! **首先,先说一下百度丶腾讯丶阿里技术岗位的一般面试流程** #### 如何进阶Android? 有些东西你不仅要懂,而且要能够很好地表达出来,能够让面试官认可你的理解,例如Handler机制,这个是面试必问之题。有些晦涩的点,或许它只活在面试当中,实际工作当中你压根不会用到它,但是你要知道它是什么东西。
adb安卓逆向基础
诺诺的博客
07-29 267
启动adb 一般无需手动执行此命令,在运行 adb 命令时若发现 adb server 没有启动会自动调起 adb start-server 查看已连接的设备 adb devices 查询手机第三方的包名 adb shell pm list packages -3 推送文件到设备 adb push 电脑文件路径 手机目标路径 拉取文件到电脑 adb pull 手机文件路径 电脑目标路径 挂载分区 adb remount 重启手机 adb reboot 查看adb的版本信息 ad
安卓逆向学习——adb常用命令(Linux)
AlexSmoker的博客
02-25 514
第用adb连接到虚拟机后,调用的Linux操作系统的shell。因为这些Android的运行环境,最底层是Linux内核。而内核就是提供系统操作的接口函数的代码块,这自然就是Linux的Shell接口命令了。 具体命令 ls 显示指定目录 ls命令效果如下,是不是有点操作Linux的感觉了呢 cd命令用于切换到指定的目录下 cd 目标目录 mkdir用于创建一个文件夹,我们实践一下。 切...
Android逆向之路---脱壳360加固原理解析,2021Android面经
m0_61331407的博客
09-02 1518
//api为27或27版本的执行下面一行,进行脱壳 OreoDump.init(lpparam); } else { //低版本api执行下面一行进行脱壳 LowSdkDump.init(lpparam,type); } } } } 已经加好注释,值得注意的就是,此处程序有分叉了,分别是 OreoDump.init()和LowSdkDump.init() 我们先看O...
Android安卓逆向教程
05-08
Android安卓逆向教程 1.java逆向基础 2.arm native逆向 3.系统编译 4.应用脱壳 5.初步编程保护 6.HOOK插件开发
教我兄弟学安卓逆向1~12+番外全部教程, 安卓逆向的经典教程之一
07-08
教我兄弟学安卓逆向1~12+番外全部教程, 安卓逆向的经典教程之一, 本人认为讲的非常好, 大家可以学习一下
老罗android开发视频教程全集百度网盘下载
05-11
Android进阶高级:蓝牙/WIFI SMS/MMS 应用实现 深层次解析GPS原理,实现LocationManager/LocationProvider 进行定位/跟踪/查找/趋近警告以及Geocoder正逆向编解码等技术细节 2D图形库(Graphics/View)详解 SDCARD/...
爬虫工程师分享:三步就搞定 Android 逆向
面向人生编程
09-05 2151
本文源于我近期的一次公司内部分享,通过逆向某款 APP 来介绍逆向过程。由于仅作为学习用途,APP 的相关信息会被遮盖,敬请理解。 关于逆向 逆向——包括但不限于通过反编译、Hook 等手段,来解析一些功能的实现过程。 逆向在很多领域都有应用,比如如今爬虫技术已经遍地走,甚至不用写代码都可以爬取数据,导致前端开发的反爬意识也逐步提升。因此 JS、Android 等领域的逆向,已经成为爬虫开发者...
Android 进阶延伸技术点,你能答出几个?(1),android开发入门到精通
m0_66155658的博客
01-27 169
res/:包含未编译到的资源 resources.arsc。  lib/:包含特定于处理器软件层的编译代码。该目录包含了每种平台的子目录,像armeabi,armeabi-v7a, arm64-v8a,x86,x86_64,和 mips。 resources.arsc:包含已编译的资源。该文件包含 res/values/ 文件夹所有配置中的 XML 内容。打包工具提取此 XML 内容,将其编译为二进制格式,并将内容归档。此内容包括语言字符串和样式,以及直接包含在** resources.arsc*..
国外android逆向的论坛,初探android逆向
weixin_42510645的博客
05-28 2110
好久没有更新博客了。一直在想要更新点什么样子的干货。最近看了一点有关于逆向的文章,感觉还不错。对于“安卓开发没人要了”这种话,我也很无奈,最近的RN,包括kotlin的出现,还有Flutter框架的出现。 这些东西的出现感觉都像是意味着,往后的移动端开发不需要双倍的人员了。最近突然对逆向萌生了一点点兴趣,关于逆向的东西依旧有很多,很多apk对进行加固,加壳等等,这里的入门仅仅是对于没有加密等操作的...
Android逆向分析必备网址大全
hacknight的专栏
09-25 907
作者:Jack Jia 原文链接 http://www.ituring.com.cn/article/38670  以下是本人在日常的应用安全分析及Android病毒分析中收集的与Android逆向分析相关的工具网站,欢迎博友提供未收录的网址。 androidterm: Android Terminal Emulator http://code.google.com/p/andro
Android逆向基本工具使用
写代码的林克
03-08 551
adb命令 网络adb &lt;1&gt;手机打开开发者模式的usb调试 &lt;2&gt;数据线连接手机到PC &lt;3&gt;连接手机 adb tcpip 5555 adb connect &lt;手机ip&gt; &lt;4&gt;拔掉数据线 注:断开 adb disconnect 安装apk adb install -r xxx.apk 卸载apk ...
大神论坛 Android多层锁机样本逆向脱壳分析与解锁 (附样本源文件)
xiaotuge_always的博客
05-29 467
用到的工具: 1.模拟器 2.android studio(看日志和运算结果) 3.jeb或者任何可以反编译apk工具 反编译后简单看一下入口activity @Override protected void onCreate(Bundle arg14) { Class v8; LogCatBroadcaster.start(this); super.onCreate(arg14); try { v8 = Cla
Android逆向学习:从基础到实践
"Android 逆向学习详解及实例" 在Android逆向学习的领域中,我们需要了解的是如何分析和理解已编译的Android应用程序,以便于调试、安全审计或破解等目的。本文将围绕这一主题展开,包括反编译、逆向分析手段等方面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值