android反编译脱壳,Android脱壳圣战之---如何脱掉"爱加密"家的保护壳

最新推荐文章于 2024-09-14 17:17:28 发布

李沫霖

最新推荐文章于 2024-09-14 17:17:28 发布

阅读量714

点赞数

文章标签： android反编译脱壳

上面就简单分析了爱加密的原理和流程，但是我们没有继续往下面分析了，因为这个不是我们今天讲解的重点，我们今天的重点是如何脱掉爱加密的壳，那么还是开始说到的，脱壳的核心就一个：给dvmDexFileOpenPartial函数下断点，dump出内存的dex文件即可，那么下面我们就是用IDA开始脱壳操作了：

第一步：启动设备中的android_server，然后进行端口转发

adb forward tcp:23946 tcp:23946

15.png (7.03 KB, 下载次数: 10)

2016-6-12 09:03 上传

第二步：用debug模式启动程序

adb shell am start -D -n com.droider.crackme0201/.MainActivity

这里的包名和入口Activity都可以在上面反编译之后的AndroidManifest.xml中找到

16.png (10.03 KB, 下载次数: 9)

2016-6-12 09:03 上传

第三步：双开IDA，一个用于静态分析libdvm.so，一个用于动态调试

17.png (116.22 KB, 下载次数: 12)

2016-6-12 09:03 上传

记录dvmDexFileOpenPartial函数的相对地址：4777C

再次打开一个IDA，进行attach调试进程

18.png (33.9 KB, 下载次数: 13)

2016-6-12 09:03 上传

第四步：使用jdb命令attach上调试器

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

19.png (10.44 KB, 下载次数: 11)

2016-6-12 09:03 上传

第五步：对dvmDexFileOpenPartial函数下断点

进入调试页面之后，Ctrl+S查找libdvm.so的内存基地址：415BB000

20.png (41.73 KB, 下载次数: 11)

2016-6-12 09:03 上传

在第三步得到相对地址：4777C+415BB000=4160277C 得到了dvmDexFileOpenPartial在内存中的绝对地址

注意：

当然这里还有一个更方便的办法：

就是直接打开Modules View：

21.png (34.14 KB, 下载次数: 10)

2016-6-12 09:03 上传

在这里查找libdvm.so文件：

22.png (17.1 KB, 下载次数: 10)

2016-6-12 09:03 上传

然后双击libdvm.so文件：

查找需要下断点的函数名称，看到这里的绝地地址也是：4160277C

这里有两种方式可以得到一个函数在内存中的绝对地址。

然后我们使用G键，直接跳转到函数处，下断点：

23.png (17.71 KB, 下载次数: 11)

2016-6-12 09:03 上传

第六步：设置Debugger Options选项

能够让程序断在dvmDexFileOpenPartial函数处

24.png (18.03 KB, 下载次数: 11)

2016-6-12 09:03 上传

注意：

上面的第四步，第五步，第六步，没有顺序的，只要在运行之前设置到就可以了。

第七步：运行程序

出现这个对话框，不要在意，一路点击Cancel即可

25.png (37.98 KB, 下载次数: 14)

2016-6-12 09:03 上传

jdb也attach上了调试程序：

26.png (30.73 KB, 下载次数: 8)

2016-6-12 09:03 上传

我们一路点击运行按钮，知道运行到dvmDexFileOpenPartial处的断点，但是可惜的是，这里我们遇到了错误：

27.png (16.86 KB, 下载次数: 11)

2016-6-12 09:03 上传

我们点击OK之后，出现了下面对话框：

28.png (30.06 KB, 下载次数: 8)

2016-6-12 09:03 上传

再次点击任何一个按钮，都会退出了调试页面：

29.png (27.64 KB, 下载次数: 9)

2016-6-12 09:03 上传

我们在重新尝试一次上面的流程，开始调试，但是错误是一样的，好了，到这里我们就立马想到了，之前说的IDA调试so的那篇文章遇到的那个问题：反调试检测

当时我们也是遇到这个情况，在没有运行到我们下的断点处，就退出了调试页面，其实这个是现在加固平台必要选择的一种方式，其实反调试原理很简单，就是在程序运行最早的时机比如so加载的时候即：JNI_OnLoad方法中，读取本进程的status文件，查看TracerPid字段是否为0，如果不为0，那么就表示自己的进程被别人跟踪了，也就是attach了，那么这时候立马退出程序，下面我们使用IDA在attach进程成功之后，查看本进程的status信息：

30.png (19.94 KB, 下载次数: 10)

2016-6-12 09:03 上传

看到这里的TracerPid为11340，不为0，表示被11340进程attach了，那么我们可以查看一下这个进程是谁：

31.png (20.16 KB, 下载次数: 11)

2016-6-12 09:03 上传

其实这个进程就是我们在设备中安插的android_server，它用于和IDA进行通信。

好了到这里，我们可以看到爱加密做了反调试检测，但是按照之前的那篇文章中，我们可以给JNI_OnLoad函数下断点，然后找到检测代码，把对应的arm指令改成空指令，检测失效了，但是这里我们知道爱加密的两个so文件被处理了，IDA没法分析了，那么这里我们该怎么办呢？如何应对反调试呢？其实我们可以借助IDA可以修改寄存器和内存数据的特性来做到？

首先我们上面分析了反调试的原理，一般在native代码去做检测的话，都是用fopen系统函数打开status文件，然后用fgets函数读取一行的内容，这个是国际惯例的，操作文件都是用的fopen函数的

好了，那么这里思路就有了：既然反调试肯定用到了fopen和fgets这两个函数，那么我们直接像给dvmDexFileOpenPartial下断点的方式一样，给这两个函数下断点，然后运行到fgets断点处的时候，发现如果是读取TracerPid这行内容的时候，就开始修改内存内容，把TracerPid字段的值改成0，或者修改R0寄存器的内容，跳过反调试检测

这两个函数是在libc.so文件中的，我们可以把设备的/system/lib/libc.so使用adb pull到本地即可，然后用IDA得到他的相对地址，在调试页面得到基地址，然后相加得到绝对地址，跳转即可，但是这里不用这种复杂的方式，有两种方式可以进行跳转：

第一种方式：在Modules界面，找到libc.so，然后在找到这两个函数，就可以得到他们的绝对地址了

32.png (9.74 KB, 下载次数: 12)

2016-6-12 09:03 上传

然后使用G键，跳转下断点即可：

33.png (16.88 KB, 下载次数: 9)

2016-6-12 09:03 上传

第二种方式：也是最简单的方式，就是G键，本身就有可以直接输入函数名进行跳转的功能

34.png (20.47 KB, 下载次数: 9)

2016-6-12 09:03 上传

下断点：

35.png (22.61 KB, 下载次数: 10)