乐固壳分析

最新推荐文章于 2021-05-11 12:52:31 发布
最新推荐文章于 2021-05-11 12:52:31 发布
阅读量263 收藏 1
点赞数
文章标签: 运维

本文以乐固2.8.1(后面还有2.10.3.1)为例,介绍乐固壳的分析和脱壳过程。

一、绕过反调试
首先,使用ida加载libshella-2.8.1.so后,出现以下section错误提示,点“OK”后仍然可以加载成功:

 

这说明“乐固”在section做了一些手脚。要解决这个问题,我们需要明白关于section和segment的一些不同:
1. ELF中的section主要提供给Linker使用, 而segment提供给Loader用,Linker需要关心.text, .rel,.text, .data, .rodata等等,关键是Linker需要做relocation。而Loader只需要知道Read/Write/Execute的属性。
2.一个executable的ELF文件可以没有section,但必须有segment。ELF文件中间部分是共用的(也就是代码段、数据段等)
由第2点可知,既然ELF可以没有section,我们就将section_header_table的数据全部清0,然后再用ida打开,发现没有这个错误提示了。
在修复的libshella-2.8.1.so的Exports表中找到JNI_OnLoad函数,发现该函数是加密的:

我们知道so 文件加载时首先会查看 .init 或 .init_array 段是否存在,如果存在那么就先运行这段的内容,如果不存在的话那么就检查是否存在JNI_OnLoad,存在则执行。所以JNI_OnLoad的解密就应该是在 .init 或 .init_array 段中。
因为 .init 或者 .init_array 在 IDA 动态调试的时候是不会显示出来的,所以需要静态分析出这两段的偏移量然后动态调试的时候计算出绝对位置,然后在 make code(快捷键:c),这样才可以看到该段内的代码内容。
那么,如何定位到执行so文件的init或init_array函数呢?
方法1:
1)从手机或虚拟机中pull出来linker
2)搜索字符串“[ Calling %s @ %p for '%s' ]”,见下图:

3)查找引用此字符串的地址:

4)到sub_271C处,见下图 :


方法2:使用 IDA 加载 .so 文件,按ctrl+s快捷键查看 “Segments” 视图,这里会列出不同类型的代码段信息,如下图所示。

方法3:readelf -a查看init_array的偏移地址:

我尝试了前两种方法都没成功,不知为什么。使用第三种方法,如上图,得到init_array地址:0x9e20。通过ida定位到该地址,发现调用了两个函数tencent1115357682105733551029和sub_14D4

第一个函数tencent1115357682105733551029为空函数,可以直接忽略:

主要看第二个函数

 1 int sub_B6F084D4()
 2 {
 3   unsigned int v0; // ST44_4
 4   unsigned int v1; // ST40_4
 5   unsigned __int64 v2; // kr00_8
 6   char v3; // ST27_1
 7   int j; // [sp+14h] [bp-44h]
 8   int v6; // [sp+18h] [bp-40h]
 9   int v7; // [sp+1Ch] [bp-3Ch]
10   char v8; // [sp+2Eh] [bp-2Ah]
11   char v9; // [sp+2Fh] [bp-29h]
12   char v10; // [sp+30h] [bp-28h]
13   char v11; // [sp+33h] [bp-25h]
14   unsigned int v12; // [sp+34h] [bp-24h]
15   _DWORD *v13; // [sp+38h] [bp-20h]
16   unsigned int v14; // [sp+48h] [bp-10h]
17   unsigned int i; // [sp+4Ch] [bp-Ch]
18 
19   for ( i = (unsigned int)sub_B6F084D4 & 0xFFFFF000; *(_DWORD *)i != 1179403647; i -= 4096 )
20     ;
21   v14 = 0;
22   v13 = (_DWORD *)(i + *(_DWORD *)(i + 28));
23   v12 = 0;
24   while ( v12 < *(unsigned __int16 *)(i + 44) )
25   {
26     if ( *v13 != 1 || v13[6] != 5 )
27     {
28       if ( *v13 == 1 && v13[6] == 6 )
29       {
30         v0 = v13[2] & 0xFFFFF000;
31         v1 = (v13[2] + v13[4] + 4095) & 0xFFFFF000;
32         break;
33       }
34     }
35     else
36     {
37       v14 = (v13[2] + v13[4] + 4095) & 0xFFFFF000;
38     }
39     ++v12;
40     v13 += 8;
41   }
42   v11 = 43;
43   v10 = -103;
44   v9 = 32;
45   v8 = 21;
46   v2 = (unsigned __int64)word_B6F11010[0] << 16;
47   v7 = LOWORD(word_B6F11010[0]);
48   v6 = LOWORD(word_B6F11010[0]) - (word_B6F11010[0] >> 16);
49   mprotect_0(i + HIDWORD(v2), (v6 + 4095) & 0xFFFFF000, 3);
50   for ( j = HIDWORD(v2); j <= v7; ++j )
51   {
52     v3 = *(_BYTE *)(i + j);
53     *(_BYTE *)(i + j) ^= (unsigned __int8)((j ^ (v10 - v9)) + v8) ^ v11;
54     *(_BYTE *)(i + j) += v10 ^ v9 & v8;
55     v11 += v3 & (v10 + v9 - v8) & j;
56     v10 += v3 ^ (v11 + j);
57     v9 ^= (unsigned __int8)(v3 - v11) ^ (unsigned __int8)j;
58     v8 -= v3 + v11 - j;
59   }
60   mprotect_0(i + HIDWORD(v2), (v6 + 4095) & 0xFFFFF000, 5);
61   sub_B6F083DC(i + HIDWORD(v2), v6);
62   word_B6F11010[0] = i;
63   dword_B6F11380 = i;
64   unk_B6F11384 = v14;
65   return sub_B6F0F630();
66 }

我们看到这个函数主要进行了一些字节变换,然后调用了mprotect,sub_B6F083DC和sub_B6F0F630三个函数。sub_B6F083DC函数就是做了 cacheflush和syscall操作,不管它。

 

我们来看看sub_B6F0F630函数,发现该函数调用pthread_create创建了一个线程,第三个参数是线程运行函数的起始地址。

通过ida定位这个地址,查看pthread_create创建的线程调用的函数如下:

  1 int __fastcall sub_B6F0EBD0(int a1)
  2 {
  3   int v2; // r0
  4   int v3; // r0
  5   char *v4; // r3
  6   int *v5; // r1
  7   int *v6; // r3
  8   int v7; // r2
  9   unsigned int v8; // r0
 10   char *v9; // r3
 11   char v10; // [sp-10h] [bp-490h]
 12   char v11; // [sp-Fh] [bp-48Fh]
 13   char v12; // [sp-Eh] [bp-48Eh]
 14   char v13; // [sp-Dh] [bp-48Dh]
 15   char v14; // [sp-Ch] [bp-48Ch]
 16   char v15; // [sp-Bh] [bp-48Bh]
 17   char v16; // [sp-Ah] [bp-48Ah]
 18   char v17; // [sp-9h] [bp-489h]
 19   char v18; // [sp-8h] [bp-488h]
 20   char v19; // [sp-7h] [bp-487h]
 21   char v20; // [sp-6h] [bp-486h]
 22   char v21; // [sp-5h] [bp-485h]
 23   char v22; // [sp-4h] [bp-484h]
 24   char v23; // [sp-3h] [bp-483h]
 25   char v24; // [sp-2h] [bp-482h]
 26   int v25; // [sp+0h] [bp-480h]
 27   int v26; // [sp+4h] [bp-47Ch]
 28   int v27; // [sp+8h] [bp-478h]
 29   int v28; // [sp+Ch] [bp-474h]
 30   int v29; // [sp+10h] [bp-470h]
 31   int v30; // [sp+14h] [bp-46Ch]
 32   int v31; // [sp+18h] [bp-468h]
 33   int v32; // [sp+1Ch] [bp-464h]
 34   int v33; // [sp+20h] [bp-460h]
 35   int v34; // [sp+24h] [bp-45Ch]
 36   int v35; // [sp+28h] [bp-458h]
 37   int v36; // [sp+2Ch] [bp-454h]
 38   int v37; // [sp+30h] [bp-450h]
 39   int v38; // [sp+34h] [bp-44Ch]
 40   int v39; // [sp+38h] [bp-448h]
 41   int v40; // [sp+3Ch] [bp-444h]
 42   void *v41; // [sp+40h] [bp-440h]
 43   char *v42; // [sp+44h] [bp-43Ch]
 44   void *v43; // [sp+48h] [bp-438h]
 45   char v44; // [sp+4Ch] [bp-434h]
 46   char v45; // [sp+4Dh] [bp-433h]
 47   char v46; // [sp+4Eh] [bp-432h]
 48   char v47; // [sp+4Fh] [bp-431h]
 49   char v48; // [sp+50h] [bp-430h]
 50   char v49; // [sp+51h] [bp-42Fh]
 51   char v50; // [sp+52h] [bp-42Eh]
 52   char v51; // [sp+53h] [bp-42Dh]
 53   char v52; // [sp+54h] [bp-42Ch]
 54   char v53; // [sp+55h] [bp-42Bh]
 55   char v54; // [sp+56h] [bp-42Ah]
 56   char v55; // [sp+57h] [bp-429h]
 57   char v56; // [sp+58h] [bp-428h]
 58   char v57; // [sp+59h] [bp-427h]
 59   char v58; // [sp+5Ah] [bp-426h]
 60   char v59; // [sp+5Bh] [bp-425h]
 61   int watch_fd; // [sp+5Ch] [bp-424h]
 62   char v61; // [sp+60h] [bp-420h]
 63   int v62; // [sp+460h] [bp-20h]
 64   int v63; // [sp+464h] [bp-1Ch]
 65   int v64; // [sp+468h] [bp-18h]
 66   int v65; // [sp+46Ch] [bp-14h]
 67 
 68   v65 = a1;
 69   ++dword_B6F11378;
 70   v43 = &loc_B6F10F44;
 71   v42 = &v44;
 72   v41 = &loc_B6F10F44;
 73   unk_B6F11388 = sub_B6F08218(1024);            // malloc
 74   v40 = sub_B6F0DDEC();
 75   unk_B6F1138C = sub_B6F0DEE0(0, v65, unk_B6F11384);
 76   v64 = getppid_0();
 77   v50 = unk_B6F112B7 ^ 0x96;
 78   v49 = unk_B6F112B6 ^ 0xF7;
 79   v58 = unk_B6F112BF ^ 0xE1;
 80   v51 = unk_B6F112B8 ^ 0x9E;
 81   v46 = unk_B6F112B3 ^ 0x85;
 82   v53 = unk_B6F112BA ^ 0x98;
 83   v59 = unk_B6F112C0;
 84   v44 = unk_B6F112B1 ^ 0xE9;
 85   v47 = unk_B6F112B4 ^ 0x95;
 86   v56 = unk_B6F112BD ^ 0xCA;
 87   v54 = unk_B6F112BB ^ 0xEE;
 88   v48 = unk_B6F112B5 ^ 0xEA;
 89   v45 = unk_B6F112B2 ^ 0x97;
 90   v57 = unk_B6F112BE ^ 0xD3;
 91   v55 = unk_B6F112BC ^ 0xA5;
 92   v52 = unk_B6F112B9 ^ 0xFB;
 93   v63 = sub_B6F082D8((int)&v44);                // opendir
 94   if ( v63 )
 95   {
 96     v39 = 4095;
 97     watch_fd = init();
 98     v38 = watch_fd;
 99     sub_B6F08338();                             // fcntl
100     v2 = sub_B6F08338();
101     v22 = byte_B6F112CD ^ 0x8D;
102     v10 = unk_B6F112C1 ^ 0x91;
103     v19 = byte_B6F112CA ^ 0xC5;
104     v21 = byte_B6F112CC ^ 0x80;
105     v13 = byte_B6F112C4 ^ 0xD3;
106     v15 = byte_B6F112C6 ^ 0xE1;
107     v17 = byte_B6F112C8 ^ 0xCA;
108     v18 = byte_B6F112C9 ^ 0xE1;
109     v24 = byte_B6F112CF;
110     v23 = byte_B6F112CE ^ 0xC8;
111     v11 = byte_B6F112C2 ^ 0x87;
112     v12 = byte_B6F112C3 ^ 0x96;
113     v20 = byte_B6F112CB ^ 0xDA;
114     v14 = byte_B6F112C5 ^ 0xD7;
115     v16 = byte_B6F112C7 ^ 0xE2;
116     v37 = v2;
117     v36 = add_watch(watch_fd, &v10, 4095);
118     while ( 1 )
119     {
120       v62 = sub_B6F082E4(v63);                  // readdir
121       if ( !v62 )
122         break;
123       if ( *(_BYTE *)(v62 + 18) & 4 && &word_2E != (__int16 *)*(unsigned __int8 *)(v62 + 19) )
124       {
125         *(&v10 - 11) = byte_B6F112DD ^ 0x8D;
126         *(&v10 - 22) = byte_B6F112D2 ^ 0x9E;
127         *(&v10 - 12) = byte_B6F112DC ^ 0xAD;
128         *(&v10 - 5) = byte_B6F112E3 ^ 0x86;
129         *(&v10 - 14) = byte_B6F112DA ^ 0xE1;
130         *(&v10 - 8) = byte_B6F112E0 ^ 0xB1;
131         *(&v10 - 10) = byte_B6F112DE ^ 0xCF;
132         *(&v10 - 15) = byte_B6F112D9 ^ 0xB1;
133         *(&v10 - 24) = unk_B6F112D0 ^ 0xA7;
134         *(&v10 - 13) = byte_B6F112DB ^ 0xE0;
135         *(&v10 - 7) = byte_B6F112E1 ^ 0xA2;
136         *(&v10 - 3) = byte_B6F112E5 ^ 0xAB;
137         *(&v10 - 17) = byte_B6F112D7 ^ 0x8B;
138         *(&v10 - 2) = byte_B6F112E6;
139         *(&v10 - 23) = byte_B6F112D1 ^ 0xBD;
140         *(&v10 - 19) = byte_B6F112D5 ^ 0xCC;
141         *(&v10 - 9) = byte_B6F112DF ^ 0xA7;
142         *(&v10 - 6) = byte_B6F112E2 ^ 0xE6;
143         *(&v10 - 16) = byte_B6F112D8 ^ 0xA0;
144         *(&v10 - 18) = byte_B6F112D6 ^ 0x83;
145         *(&v10 - 21) = byte_B6F112D3 ^ 0x98;
146         *(&v10 - 20) = byte_B6F112D4 ^ 0xD2;
147         *(&v10 - 4) = byte_B6F112E4 ^ 0xC2;
148         v35 = sub_B6F082F0();                   // sprintf
149         v34 = add_watch(watch_fd, &v61, 4095);
150       }
151     }
152     v33 = sub_B6F08314(v63);                    // closedir
153     while ( 1 )
154     {
155       *(&v10 - 12) = byte_B6F112FC ^ 0x8D;
156       *(&v10 - 7) = byte_B6F11301;
157       *(&v10 - 10) = byte_B6F112FE ^ 0xD9;
158       *(&v10 - 14) = byte_B6F112FA ^ 0xD2;
159       *(&v10 - 17) = byte_B6F112F7 ^ 0xD5;
160       *(&v10 - 19) = byte_B6F112F5 ^ 0x81;
161       *(&v10 - 22) = byte_B6F112F2 ^ 0xB8;
162       *(&v10 - 13) = byte_B6F112FB ^ 0xC7;
163       *(&v10 - 15) = byte_B6F112F9 ^ 0xB2;
164       *(&v10 - 18) = byte_B6F112F6 ^ 0x81;
165       *(&v10 - 24) = unk_B6F112F0 ^ 0x9C;
166       *(&v10 - 9) = byte_B6F112FF ^ 0x95;
167       *(&v10 - 20) = byte_B6F112F4 ^ 0x82;
168       *(&v10 - 23) = byte_B6F112F1 ^ 0x81;
169       *(&v10 - 16) = byte_B6F112F8 ^ 0x88;
170       *(&v10 - 8) = byte_B6F11300 ^ 0xC;
171       *(&v10 - 11) = byte_B6F112FD ^ 0xC8;
172       *(&v10 - 21) = byte_B6F112F3 ^ 0x8B;
173       v3 = sub_B6F0DFA0((int)(&v10 - 24));
174       if ( v3 != v64 )
175       {
176         *(&v10 - 16) = byte_B6F112F8 ^ 0x88;
177         *(&v10 - 11) = byte_B6F112FD ^ 0xC8;
178         *(&v10 - 24) = unk_B6F112F0 ^ 0x9C;
179         *(&v10 - 9) = byte_B6F112FF ^ 0x95;
180         *(&v10 - 8) = byte_B6F11300 ^ 0xC;
181         *(&v10 - 10) = byte_B6F112FE ^ 0xD9;
182         *(&v10 - 20) = byte_B6F112F4 ^ 0x82;
183         *(&v10 - 18) = byte_B6F112F6 ^ 0x81;
184         *(&v10 - 7) = byte_B6F11301;
185         *(&v10 - 23) = byte_B6F112F1 ^ 0x81;
186         *(&v10 - 19) = byte_B6F112F5 ^ 0x81;
187         *(&v10 - 14) = byte_B6F112FA ^ 0xD2;
188         *(&v10 - 21) = byte_B6F112F3 ^ 0x8B;
189         *(&v10 - 12) = byte_B6F112FC ^ 0x8D;
190         *(&v10 - 13) = byte_B6F112FB ^ 0xC7;
191         *(&v10 - 22) = byte_B6F112F2 ^ 0xB8;
192         *(&v10 - 15) = byte_B6F112F9 ^ 0xB2;
193         *(&v10 - 17) = byte_B6F112F7 ^ 0xD5;
194         if ( sub_B6F0DFA0((int)(&v10 - 24)) )
195         {
196           *(&v10 - 6) = byte_B6F11304 ^ 0xAF;
197           *(&v10 - 8) = unk_B6F11302 ^ 0x8B;
198           *(&v10 - 5) = byte_B6F11305 ^ 0xF3;
199           *(&v10 - 7) = byte_B6F11303 ^ 0xCB;
200           *(&v10 - 4) = byte_B6F11306;
201           *(&v10 - 13) = byte_B6F1130A ^ 0xA7;
202           *(&v10 - 5) = byte_B6F11312 ^ 0xDF;
203           *(&v10 - 9) = byte_B6F1130E ^ 0xB5;
204           *(&v10 - 14) = byte_B6F11309 ^ 0xAC;
205           *(&v10 - 4) = byte_B6F11313 ^ 0x80;
206           *(&v10 - 8) = byte_B6F1130F ^ 0xFD;
207           *(&v10 - 12) = byte_B6F1130B ^ 0xC4;
208           *(&v10 - 7) = byte_B6F11310 ^ 0xE7;
209           *(&v10 - 15) = byte_B6F11308 ^ 0xC5;
210           *(&v10 - 16) = unk_B6F11307 ^ 0xA9;
211           *(&v10 - 3) = byte_B6F11314;
212           *(&v10 - 6) = byte_B6F11311 ^ 0x9E;
213           *(&v10 - 10) = byte_B6F1130D ^ 0x93;
214           *(&v10 - 11) = byte_B6F1130C ^ 0xE3;
215           v32 = sub_B6F081C4(6, (int)(&v10 - 8), (int)(&v10 - 16));// _android_log_print
216           v31 = sub_B6F0826C(9);                // raise
217         }
218       }
219       if ( read_0(watch_fd, &v61, &dword_354[43]) > 0 )
220       {
221         *(&v10 - 5) = byte_B6F11305 ^ 0xF3;
222         *(&v10 - 4) = byte_B6F11306;
223         *(&v10 - 6) = byte_B6F11304 ^ 0xAF;
224         *(&v10 - 8) = unk_B6F11302 ^ 0x8B;
225         *(&v10 - 7) = byte_B6F11303 ^ 0xCB;
226         v4 = &v10 - 16;
227         *v4 = unk_B6F11315 ^ 0xB2;
228         *(&v10 - 14) = byte_B6F11317 ^ 0xA6;
229         *(&v10 - 11) = byte_B6F1131A ^ 0xBF;
230         *(&v10 - 13) = byte_B6F11318 ^ 0xBA;
231         *(&v10 - 15) = byte_B6F11316 ^ 0xAF;
232         *(&v10 - 10) = byte_B6F1131B ^ 0x92;
233         *(&v10 - 7) = byte_B6F1131E ^ 0xE7;
234         *(&v10 - 9) = byte_B6F1131C ^ 0x9E;
235         *(&v10 - 8) = byte_B6F1131D ^ 0xB3;
236         *(&v10 - 12) = byte_B6F11319 ^ 0xDD;
237         v4[10] = byte_B6F1131F;
238         v30 = sub_B6F081C4(6, (int)(&v10 - 8), (int)(&v10 - 16));// _android_log_print
239         v29 = sub_B6F0826C(9);                  // raise
240       }
241       v5 = (int *)((char *)dword_440 + (_DWORD)v43);
242       v6 = (int *)((char *)&dword_440[2] + (_DWORD)v43);
243       ++*(int *)((char *)&dword_354[56] + (_DWORD)v43);
244       v7 = *v5;
245       v28 = *v6;
246       v8 = sub_B6F0DEE0(0, v65, v7);
247       if ( v28 != v8 )
248       {
249         *(&v10 - 5) = byte_B6F11305 ^ 0xF3;
250         *(&v10 - 4) = byte_B6F11306;
251         *(&v10 - 7) = byte_B6F11303 ^ 0xCB;
252         *(&v10 - 8) = unk_B6F11302 ^ 0x8B;
253         *(&v10 - 6) = byte_B6F11304 ^ 0xAF;
254         v9 = &v10 - 8;
255         *v9 = unk_B6F11320 ^ 0xCD;
256         *(&v10 - 6) = byte_B6F11322 ^ 0x87;
257         *(&v10 - 7) = byte_B6F11321 ^ 0xDF;
258         *(&v10 - 3) = byte_B6F11325 ^ 0xF5;
259         *(&v10 - 5) = byte_B6F11323 ^ 0xFC;
260         *(&v10 - 2) = byte_B6F11326;
261         v9[4] = byte_B6F11324 ^ 0x1A;
262         v27 = sub_B6F081C4(6, (int)(&v10 - 8), (int)(&v10 - 8));// _android_log_print
263         v26 = sub_B6F0826C(9);                  // raise
264       }
265       v25 = sub_B6F08350(1);                    // sleep
266     }
267   }
268   return 0;
269 }

这个函数在while(1)循环中根据不同条件调用了3个raise() 函数,肯定是跟反调试相关的。不管怎么样,我们把这个创建线程的代码nop掉就可以了。具体方法是,在ida的Hex View窗口,定位到调用该函数的地址处,按F2,将对应十六进制改成“00 00 A0 E1”,再按F2保存就可以了。

二、找到RegisterNatives
过了反调试,接下来就是找Jni_OnLoad函数了。前面我们知道Jni_OnLoad的相对偏移地址为0x9e20,通过 [基地址+偏移地址] 得到绝对地址,ida定位到该地址,按快捷键C将数据转换成代码,下断点,F9运行到这里,就是Jni_OnLoad了,具体代码如下:

 1 int __fastcall sub_763575A8(int a1, int a2)
 2 {
 3   char v2; // r0
 4   int v4; // [sp+0h] [bp-450h]
 5   int (__fastcall *v5)(_DWORD, _DWORD); // [sp+4h] [bp-44Ch]
 6   int v6; // [sp+8h] [bp-448h]
 7   int v7; // [sp+Ch] [bp-444h]
 8   int *v8; // [sp+14h] [bp-43Ch]
 9   int v9; // [sp+18h] [bp-438h]
10   int v10; // [sp+1Ch] [bp-434h]
11   int v11; // [sp+20h] [bp-430h]
12   int v12; // [sp+28h] [bp-428h]
13   int (__fastcall *mydlsym)(_DWORD, _DWORD); // [sp+2Ch] [bp-424h]
14   int v14; // [sp+30h] [bp-420h]
15   int v15; // [sp+34h] [bp-41Ch]
16   int v16; // [sp+434h] [bp-1Ch]
17   int v17; // [sp+438h] [bp-18h]
18 
19   v17 = a1;
20   v16 = a2;
21   v12 = 0;
22   400A2255(&v15, 1024, 0);
23   while ( sub_763579D4(&v15) )
24     ;
25   if ( !unk_7635B37C )
26     v11 = 4007B1F9(9);
27   while ( 1 )
28   {
29     v2 = 0;
30     if ( unk_7635B378 )
31       v2 = 1;
32     if ( !(((unsigned __int8)v2 ^ 1) & 1) )
33       break;
34     *((_BYTE *)&v4 - 7) = byte_7635B025 ^ 0xB5;
35     *((_BYTE *)&v4 - 8) = byte_7635B024 ^ 0x81;
36     *((_BYTE *)&v4 - 4) = byte_7635B028 ^ 0xEC;
37     *((_BYTE *)&v4 - 6) = byte_7635B026 ^ 0xD4;
38     *((_BYTE *)&v4 - 5) = byte_7635B027 ^ 0xF5;
39     *((_BYTE *)&v4 - 3) = byte_7635B029;
40     *((_BYTE *)&v4 - 13) = byte_7635B207 ^ 0xBA;
41     *((_BYTE *)&v4 - 6) = byte_7635B20E;
42     *((_BYTE *)&v4 - 14) = byte_7635B206 ^ 0x88;
43     *((_BYTE *)&v4 - 8) = byte_7635B20C ^ 0xD3;
44     *((_BYTE *)&v4 - 9) = byte_7635B20B ^ 0xC9;
45     *((_BYTE *)&v4 - 12) = byte_7635B208 ^ 0xF7;
46     *((_BYTE *)&v4 - 11) = byte_7635B209 ^ 0xED;
47     *((_BYTE *)&v4 - 16) = byte_7635B204 ^ 0xD1;
48     *((_BYTE *)&v4 - 10) = byte_7635B20A ^ 0xEB;
49     *((_BYTE *)&v4 - 15) = byte_7635B205 ^ 0xCE;
50     *((_BYTE *)&v4 - 7) = byte_7635B20D ^ 0x91;
51     v10 = log(6);
52   }
53   v9 = 6;
54   v8 = &v15;
55   v7 = sub_76354568(&v15, dword_7635B020);
56   v14 = link_dlopen(v8, 0);
57   *((_BYTE *)&v4 - 6) = unk_7635B219;
58   *((_BYTE *)&v4 - 14) = unk_7635B211 ^ 0x8B;
59   *((_BYTE *)&v4 - 7) = unk_7635B218 ^ 0xB0;
60   *((_BYTE *)&v4 - 8) = unk_7635B217 ^ 0x92;
61   *((_BYTE *)&v4 - 9) = unk_7635B216 ^ 0xCD;
62   *((_BYTE *)&v4 - 11) = unk_7635B214 ^ 0x84;
63   *((_BYTE *)&v4 - 16) = unk_7635B20F ^ 0xC3;
64   *((_BYTE *)&v4 - 12) = unk_7635B213 ^ 0xA4;
65   *((_BYTE *)&v4 - 13) = unk_7635B212 ^ 0xB1;
66   *((_BYTE *)&v4 - 10) = unk_7635B215 ^ 0x9E;
67   *((_BYTE *)&v4 - 15) = unk_7635B210 ^ 0xDB;
68   mydlsym = (int (__fastcall *)(_DWORD, _DWORD))link_dlsym();
69   *((_BYTE *)&v4 - 7) = byte_7635B025 ^ 0xB5;
70   *((_BYTE *)&v4 - 4) = byte_7635B028 ^ 0xEC;
71   *((_BYTE *)&v4 - 3) = byte_7635B029;
72   *((_BYTE *)&v4 - 8) = byte_7635B024 ^ 0x81;
73   *((_BYTE *)&v4 - 5) = byte_7635B027 ^ 0xF5;
74   *((_BYTE *)&v4 - 6) = byte_7635B026 ^ 0xD4;
75   *((_BYTE *)&v4 - 13) = unk_7635B21D ^ 0xAA;
76   *((_BYTE *)&v4 - 12) = unk_7635B21E ^ 0xBE;
77   *((_BYTE *)&v4 - 16) = unk_7635B21A ^ 0x84;
78   *((_BYTE *)&v4 - 15) = unk_7635B21B ^ 0xC9;
79   *((_BYTE *)&v4 - 6) = unk_7635B224;
80   *((_BYTE *)&v4 - 7) = unk_7635B223 ^ 0xC7;
81   *((_BYTE *)&v4 - 14) = unk_7635B21C ^ 0xA9;
82   *((_BYTE *)&v4 - 11) = unk_7635B21F ^ 0x95;
83   *((_BYTE *)&v4 - 9) = unk_7635B221 ^ 0x9D;
84   *((_BYTE *)&v4 - 10) = unk_7635B220 ^ 0xDC;
85   *((_BYTE *)&v4 - 8) = unk_7635B222 ^ 0xC2;
86   v6 = log(v9);
87   if ( !mydlsym )
88     return 65540;
89   v5 = mydlsym;
90   return mydlsym(v17, v16);
91 }

我们看到这段代码调用了dlopen和dlsym两个函数。dlopen打开一个动态链接库,dlsym根据动态链接库操作句柄(handle)与符号(symbol),返回符号对应的地址。使用这个函数不但可以获取函数地址,也可以获取变量地址。我们按F7根据这个函数调用,进入到如下代码处:

一个一个地查看各个调用函数,在unk_764F47C4函数中发现了有registerNatives的调用

跟进sub_76389780函数,发现偏移0x35C,这正是registerNatives相对于JNINativeInterface的偏移。在这里下断点,F9运行到这里。

我们知道RegisterNatives的函数原型是:

jint RegisterNatives(jclass clazz, const JNINativeMethod* methods,jint nMethods)

第二个参数是JNINativeMethod结构体

typedef struct {
    const char* name;
    const char* signature;
    void* fnPtr;
} JNINativeMethod;

在这里,就是v6,指向结构体数组地址:0x76AE2004。结构体的第三个成员是函数指针,指向该函数的地址。

第三个参数表示注册的函数个数,在这里为v4,其值为5,表示注册了5个native函数。如下图所示:

我们通过查看这个地址,得到这5个函数分别为:

0x76ad1839    load(Landroid/content/Context;)
0x76acdd71    runCreate(Landroid/content/Context;)
0x76acd985    changeEnv(Landroid/content/Context;)
0x76aca1a9    reciver(Landroid/content/Intent;)
0x76acd8c5    txEntries(Ldalvik/system/DexFile;)

我们把重点放在native函数load上。它在段debug175中的偏移量为0xC839。此函数用于解密隐藏在classes.dex中的数据,以获取真正DEX文件并加载它。这里要注意一点:函数指针指向的地址为0x76ad1839,则真正的函数代码在 0x76ad1839+1 位置。以下是load函数的C代码。

load函数会判断系统是Art还是dalvik,根据不同的系统进行不同的操作。因为本人的系统是4.4,所以选择sub_767B3CD0函数进行跟踪(检测dalvik和art的方法可以参考https://stackoverflow.com/questions/19830342/how-can-i-detect-the-android-runtime-dalvik-or-art)。
三、dump dex
这个函数比较长,这里只截取关键部分。找到"classes.dex"字符串,在这里下断点,F9运行到这里。代码如下:

要理解这段代码的意思,我们需要掌握以下知识点:
(1)dex header的大小固定为0x70
(2)0x28为odex文件格式中dex_header的相对偏移地址,所以(odexAddr + 0x28)为该odex文件格式中dex header的绝对地址,如图所示:

(3)dex header中的data_size和data_off字段偏移分别为0x68和0x6C,如图所示:

orgDexOffset由sub_764918CA函数得出,其计算方法如下:其中a1为(v18+ 0x28)

所以,*(a1+0x6C)和*(a1+0x68)分别表示data_size和data_off字段的取值。这两个字段的值分别为0x38C14和0x9710:

以下是对上面关键代码的说明:
1. 获取odex文件data@app@com.example.helloworld_1.apk@classes.dex的基址。
2. 通过DEX头中的data_size和data_off字段来获得真实DEX文件的偏移量。data_size为0x38C14,data_off为0x9710。偏移量为(0x38C14+0x9710+0x1000)>>12)<<12 = 0x43000。
3. 将真实的DEX的DEX头数据复制到新分配的内存中。真实DEX文件的起始地址等于odex的基地址加上0x43000和0x28。
4. 解密真实DEX文件的DEX头数据到新分配的内存中。
5. dex真实文件大小为0xA7C14。

搞明白这些后,我们就可以进行脱壳了。待dex头解密完成后,使用脚本将其dump下来,dump的起始地址为odex的基址,结束地址可以从下图找到

dump代码如下:

1 static main(void)
2 {
3     auto fp, begin, end, ptr;
4     fp = fopen("d:\\dump.odex", "wb");
5     begin = 0x75F26000;
6     end = 0x7601A000;
7     for ( ptr = begin; ptr < end; ptr ++ )
8         fputc(Byte(ptr), fp);
9 }

这是dump的odex文件,我们还需要dump下解密后的dex header。dump起始地址为0xBEFB73FC,大小为0x70。

然后用010editor打开odex文件,依次点击菜单“Edit”=>"Select Range",开始地址填入43028,大小填入0xA7C14,选择这段数据,然后依次点击“File”=>“Save Selection...”保存为dex格式文件。然后再用010editor打开dump的解密后的dex header,依次选择“Edit”=>"Copy As"=>"Copy as Hex Text"复制下这段数据,再打开保存的dex文件,选择dex头部数据,依次点击“Edit”=>"Paste From"=>"Paste from Hex Text",然后保存。用逆向工具打开该dex就可以看到逆向后的代码了:

上面就是乐固的脱壳过程。下面再说一下乐固2.10.3.1版本,其实,这个版本与改变并不是很多。还是按照以下步骤来进行
(1)绕过反调试
(2)找到RegisterNatives
(3)dump dex
具体的过程我这里就不详细描述了,有几个需要注意的地方说下。
下图Jni_OnLoad的部分代码,红色标记处为dlsym调用,跟进这里就可以了。

这里被加密的数据大小为0xE0,所以不再只是dex header部分,还有部分dex_string_ids数据,如图

 

weixin_33860722
关注
安卓腾讯乐固(legutools)多渠道打包(友盟)
qq_14993563的博客
01-28 1567
腾讯云.移动安全生成友盟多渠道方法 项目里正常集成友盟,导入友盟sdk 配置:AndroidManifest.xml Application中调用 UMConfigure.init(this, UMConfigure.DEVICE_TYPE_PHONE, ""); 正常打包生成apk文件。   加固工具准备: 基础包apk文件(没有加固过的apk文件) 1个 签名文件和密码 ...
android so劫持,[原创][原创]根据”so劫持”过360加固详细分析
weixin_35949431的博客
05-27 480
参考:https://bbs.pediy.com/thread-223699.htmhttp://blog.csdn.net/luoshengyang/article/details/8923483前几日看到大神写的https://bbs.pediy.com/thread-223699.htm这篇博客感觉受益匪浅,但是其中有一些自己的理解想跟大家一起分享,算不上原创,希望各位大侠不要嘲笑。共同学习...
手动脱Nspack壳的分析文档
07-09
吾爱破解培训第一课作业2的分析脱壳,主要是脱Nspack壳的过程分析
乐固加壳的原理分析
雪一梦的博客
07-22 3594
乐固壳的大致运行流程:           具体的加固流程分析:             总结:         总的来说乐固还停留在二代不落地方式的加固水平,主要还是通过参考在不同Android源码模式下,对一些关键的系统函数的重写,比如说对于dex字节的加载函数,Dalvik下的openDexFile和ART下的OpenFile函数进行重写,加上一些
分析
BpLife
11-25 469
压缩壳 1.压缩数据(压缩函数的调用) 2.处理E8,E9(jmp,call) 3.处理重定位 4.简单处理IAT 5.少许Anti,Anti-Dump 加密壳 1.压缩,加密数据 2.花指令 3.代码乱序 4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump 5.Stolen Code/Sto
UPX脱壳全程分析(转)
banhanjun1518的博客
07-05 467
【文章标题】: UPX脱壳全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
愉客行数据服务.apk 分析报告1
08-04
- 报告未提供完整的加壳分析结果,但提到了打包Tencent's Leguclasses.dex壳列表,这可能意味着应用使用了腾讯乐固加固技术,以提高代码的安全性和反逆向工程能力。 综上,愉客行数据服务应用具有一定的网络通信...
腾讯加固腾讯云加固脱壳脱壳
11-23
#### 二、加固过程分析 ##### 1. 文件结构变化 当应用程序通过腾讯云加固后,其文件结构会发生明显变化: - **新增so文件**:加固过程中会添加两个so文件——`libmain.so`和`libshell.so`。这些文件包含用于运行...
闲聊阿里加固(一)
AliMobileSecurity的博客
11-21 5427
本文分享如何找到Android加固的脱壳点,内容详细并结合源码分析
20道Android工程师面试必问题,看这一篇就够了!
m0_56228922的博客
05-11 730
前言 最近,有同学参加阿里云的面试,被问到:如果是MySQL引起的CPU消耗过大,你会如何优化?他说,这个问题他第一次遇到,当时一头雾水,不知道该如何回答,还好他当时机制,说MySQL底层不是他研究的重点,所以面试官没有再深入这块~~~ 因此,我们在网上找到一篇能够解答该问题的文章,希望能够帮助到各位同学。 第一阶段:Android 基础知识回顾: 回顾Android 开发编程,深入理解Android系统原理和层次结构,深入分析Handler源码和原理; 回顾Java,C/C++,Kotlin、dar
legutools.rar
04-28
腾讯 乐加固加固工具希望能帮到其他安卓开发伙伴,签名直接可以配置,挺方便的,现在官方似乎关闭下载地址,希望能帮到看到的小伙伴。
LeguTools-WINDOWS-V3.0.6.2.zip
10-18
android 免费加固工具 腾讯开发提供
legutools.exe
11-05
legutools.exe
乐固legu加固工具苹果版本.dmg
08-19
腾讯的安卓apk加固工具乐固,生成签名,加固app都可以。
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
反编译之脱去乐固加固的壳
weixin_33691700的博客
11-23 787
前言;本文主要是介绍脱壳的方法,并不涉及原理,如果想要了解加固及脱壳的原理,请移驾别处。 写本文的原因   最近遇到一款app需要开通Vip才能进行视频下载,像我这种贫穷的程序员怎么能忍,既然没钱解决问题那就用技术解决吧!果断开始反编译,但反编译之后的文件却是下面这样的 额,这明显是经过加固后的文件,将真正的dex文件隐藏起来了,这就想让我放弃吗?肯定不可能,于是便有了本文。 一、脱壳必备的...
安卓逆向实践7——乐固脱壳实战
Ray的博客
08-07 8647
分析应用拖到Android killer中反编译: 可以看到是加了乐固壳的。查看lib目录下的so文件为libshella-2.8.so,后缀为a表示基于ARM平台,x代表x86平台,这里的版本是2.8.0版本的乐固壳。要分析如何脱壳,那么这个libshella-2.8.so就是分析的重点了。拖到IDA中静态分析,一开始就无法解析并且出现警告提示,这里老师上课讲过了,是对elf文件中的se...
apk加固(乐固
贵公子丶笔记
09-17 4164
最近项目要上市场了,虽然已经给apk加了混淆,但是听同事说,还有加固工具可以更好的保护apk。特地去用了一下apk加固。目前加固工具挺多的,我听到的有腾讯乐固和360安全加固。这次选腾讯乐固。记录下步骤,怕自己忘了。步骤:1.因为乐固是在腾讯云上(以前我以为腾讯云只是提供服务器功能,看了下产品,真是太庞大了,功能太多了,找个时间去了解下),所以登...
乐固PC端工具使用指南
"乐固PC端说明书" 本文档详细介绍了乐固PC端的使用说明,涵盖了从Android项目准备到加固和多渇道打包的整个过程。下面是从标题、描述、标签和部分内容中生成的知识点: 1. JRE更新:JRE(Java Runtime Environment...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值