0x00 题目类型:
Android的CrackMe(ExecuteTable.apk,签名: 38e1ec0e)
0x01 题目设计
将serial加密成一串字符串,与已保存字符串比较得到结果,需要分析加密算法,然后根据加密算法写出解密算法;题目中采用的加解密算法不需要太多的分析便能理清流程,关键点在于理清楚加解密的流程,涉及的相关功能点:
(1)GOT表Hook了JNI_OnLoad,并且对原有JNI_OnLoad前几十字节随便处理了一下;
(2)加入了一些垃圾代码;
(3)对用到的字符串都做了加密处理,肉眼可识别的字符串都是假的;
(4)读取tracer pid进行反调试,并且在反调试的地方设置了一个key值,只有pid为0时才是正确的key;
(5)一些系统函数使用系统调用实现,其他地方调用了系统函数(如open、read、mprotect等)也只是用于混淆,没有实际调用意义;
(6)关键的注册函数做了加密处理 ,静态直接分析不容易得出,需要动态运行dump内存等手段.
0x02 执行流程
(1)执行.init_array中的函数,有些函数只是为了混淆,或者是为了设置某些全局变量,真正有分析意义的函数只有两个,一个启动了反调试线程,一个对JNI_OnLoad进行了GOT表Hook;
(2)hook的JNI_OnLoad函数,实现了对java层native函数注册的功能,注册完成后,对关键的注册函数进行了解密;
(3)调用注册函数时对序列号进行加密和已有的一个字符串(3ww3U53wOAWG333wwPZ56GGw0PO02OUW)进行比较,相同则成功。
0x03 破解思路
(1)过反调试,反调试的办法并不复杂,只是对status文件中的TracerPid进行了检测是否为0,绕过很容易,但需注意,这里在判断为没有反调试时设置了密钥,该密钥最后会用来对序列号进行加密操作。
(2) hook一些自实现系统调用函数便于分析到关键函数,一些真正调用的函数通过系统调用实现(如read、open等)。
(3)捷径分析点:因为对关键函数进行了加密,动态解密进行调用,没有在调用后加密回去,利用这一点直接dump内存,和已有so比较,可以找到注册函数,同理可以找到GOT表Hook修改的函数:
0x04 序列号
C0ngRa7U1AtIoN2U
0x05 相关实现
上传了用到的一些字符串加解密的python实现:
https://github.com/Rorschach123/RorschachCrackMe/blob/master/execute_table_en_dec.py
一些功能实现点可以参考个人博客
0x06 其他
你找到了ExecuteTable吗?