百度脱壳的一点尝试--人肉修复

最新推荐文章于 2022-09-04 22:22:17 发布
最新推荐文章于 2022-09-04 22:22:17 发布
阅读量972 收藏
点赞数 1
文章标签: java

前言

近期把研究dex的脱壳,顺便又是再次熟悉了一下dex的标准格式以及dex被解析后在内存中所存在的格式。自己上官网加了一个壳子,发现跑不起来。于是求助几个基友,最后样本是海总给的apk,非常全面,带有Activity、Application、BroadcastReceiver、ContentProvider、以及Service。

0x1 加壳前后对照

这里写图片描写叙述

加固后的文件列表变化:
新增一个so文件以及一个jar包:
libbaiduprotect.so
baiduprotect.jar
改动:
META-INF目录
AndroidManifest.xml
Classes.dex

0x2 IDA尝试

用IDA来远程调试,直接跑挂了。看来有反调试。
从壳入口Java层找到例如以下语句:

 static {
        if(!Debug.isDebuggerConnected()) {
            String v0 = Build.CPU_ABI;
            if(v0 != null && (v0.startsWith("x86"))) {
                StubApplication.loadX86Library();
                return;
            }

            System.loadLibrary("baiduprotect");
        }
}

把第一个if删掉之后,程序顺利的载入了baiduprotect.so。顺利的进入了壳的领空。只是不知道是程序在so里面做了完整性校验还是再次检測了debuggerconnected,每次跑都是进入了一个死循环后,然后程序就跑挂了。跑了非常多次都是难以逃出那个trap。这个时候就比較纠结了。既然反调试过不去,想起360的壳子用DD也能够脱的非常完美。那就换个方式试试。

0x3 DD大法

dd if=/proc/PID/mem of=XX skip=0 ibs=1 count=LENGTH 
skip改成偏移地址
偏移地址 
cat /proc/pid/maps

1.这里首先要感谢下wbyang博士猛男,这个DD大法也是上次挑战赛之后向他学来的。程序跑起来,把内存都dump出来,大概是100多mb的东西。找几个字符串,然后向上翻。找到dex文件的头。发现是被抹掉的。如图:
这里写图片描写叙述
前面红色框的8字节是odex的magic头。后面的0x70字节是dex的头。除了一些size和编码标志没有被抹掉。其它的已经是面目全非,修复后例如以下:
这里写图片描写叙述
这下把dex文件抠出来了。
2.把dex反编译成smali文件
出现例如以下错误:

这里写图片描写叙述

重复检查后发现了例如以下是CodeItems以下的offset错误:
这里写图片描写叙述
Dex的文件大小才0xA30DC。而offset指向了外面的东西。

当然是无法解析的。这里我是有一个问题的,第三个偏移,这个0x0220E8E8,指向的是前面的内存。这是怎样做到的?我个人觉得是百度是在载入完毕之后有益改成这个数字的。若有错误。还望前辈不吝指正。


把这三个offset 都改成0就能够达到反编译成功,当然是在缺三个DataItem的前提下编译成功的。找到被抹掉的DataItem地址:
这里写图片描写叙述

以上三处为0的区域就是加固前的dex代码所存放的位置。


因此,如果我们能从dex的结构逆推出该三处的数据而且用应该的数据填充这块。静态就能把这个壳子搞定了。


3.怎样修复

360壳子要修复的数据为DataclassDef中的offset就可以。而百度的更为麻烦一些,不仅它的偏移须要修复一下,更为麻烦的是DataItem的数据也要修复。这个难度就更大了。


总的修复原则是导出函数表,然后按顺序来修复dex中被抹掉的数据,例如以下:
这里写图片描写叙述

逆计算出函数的uleb128的索引值、常见函数的一些accessflags、以及指向函数内容的offset。
修复后例如以下:
这里写图片描写叙述

修复的过程比較繁琐。有时候还须要自己尝试几次才知道size是多少。所以叫它人肉修复好了。
修复好了反编译如图
这里写图片描写叙述

发现onCreate函数没有代码,检查了一下,又有新发现!


这里写图片描写叙述

原来是oncreate中的insns[]也被抹掉了。

这个算是最主要的单位了。功力太弱。无法逆推。

最后总结下。百度的壳子须要修复dex头中的magic、签名值、校验值以及各个offset。还须要修复Dataclassoffset,以及Dataclass和opcodes。前两者是能够静态修复的,最后的仅仅能动态调试寻找了。百度壳子新增了一个oncreate001的函数,调用的壳中的d方法以及e方法,推測是d方法填充了insns[]解密数据,然后e方法为清洁工,抹去正确的数据或者是改成一些非法数据。此时就泪奔了。。

(心里暗想:百度好猥琐啊。。

。)

因为过去几天了,再次写文章又又一次做了一遍,把各种东西找好。写完花了将近三个小时,累觉不爱了。

。。

T T

因为水平有限,难免有错误。还望各位看官不吝指正。


2015.3.24 By Ericky

weixin_34174132
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android百度,[原创]百度加固逆向分析
weixin_39639505的博客
05-26 1073
最近一直在研究百度,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。下面开始:一、init_array我们发现init_array中存在多个函数地址,JNI_Onload为加密状态动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。之后遇到反调试崩溃退出。后来发现反调试检测了以下字段:android_servergdbserver...
记一次APP去破解重新打包
qq_36484670的博客
11-02 1万+
1.拿到apk包时,第一步先判断是否加,加的是什么 在手机上或者虚拟机上用MT管理器找到对应的apk包 可以看的这个包虽然说是未加固,但还有个伪百度加固,其实也就是加了百度的的 2.利用BlackDex32进行去 在手机或虚拟机上安装BlackDex32,在软件中选择你要去的APP(ps:要先把apk安装上,不然找不到), 在软件中可以指定去后的文件存储路径,到对应位置下找到apk的包名即可找到去后的dex文件 3.回到MT管理器,打开的后dex与未的dex进行比较 未的:
使用内存dump百度
大郎的博客
10-26 2698
废话不说。 测试样本md5:67257EA2E9EC6B35C9E5245927980EEA 前样本: 0x01,首先使用ps指令查看进程 0x02,通过应用的进程号查看地址分布 0x03,前面的两个字段表示开始和结束地址,最后的字段映射文件名,现在要做的就是使用dd指令把最后一个dex文件dump出来 dd  if=/proc/56
Android常见App加固厂商方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(前学习的知识、的历史、方法)第一代第二代第三代第N代 简述 Apk文件结构Dex文件结构的识别 Apk文件结构 Dex文件结构 史 第一代 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代 Dex抽取与So加固 对抗第一代常见的
百度加固逆向分析—dex还原--二代抽取
zhangmiaoping23的专栏
10-22 1385
上回说过要再写一篇文章,这里跟大家分享一下百度DEX的dump与修复。 下面开始: 一、如何获取dex 首先,我们知道动态加载的dex必然会调用dalvik/vm/DvmDex.cpp中以下两个函数任意一个: dvmDexFileOpenFromFd 从文件描述符获取DexFile结构体 dvmDexFileOpenPartial 从内存获取DexFil...
工具 NET-去混淆-de4dot-Reactor5.0 By ddk313
03-18
5. 使用de4dot-x64.exe C# dll exe 文件: de4dot "d:\xx.exe" -p xc -p xc 指定类型 , 这里是xc,表示Xenocode. 这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件 要指定输出路径请使用 -o "d:\...
.net神器---de4dot
09-25
.NET神器——de4dot,是一款专门针对.NET程序的反混淆工具,由著名安全研究者Jitender Singh创建。它的主要功能是去除.NET程序中的混淆代码,还原原本清晰的IL(中间语言)代码,使得代码更易于理解和分析。本文...
upx--用于upx类
02-05
4. **Changelog.txt**:更新日志,列出了该工具的版本更新历史,包括新增功能、改进和修复的错误。 5. **upx加机(UPX Easy GUI)下载 1.7绿色汉化版_ - pc6下载站.url**:这可能是指向该软件下载页面的快捷方式...
一种通用化软件框架研究-熊小兵
05-17
自动化论文收藏
手动百度
04-17
手动百度的,关于逆向破解百度加固过的app
高手教你手动精确各种!
09-15
出于程序作者想对程序资源压缩、注册保护的目的,把分为压缩和加密两种 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顾名思义,压缩只是为了减小程序体积对资源进行压缩,加密是程序输入表等等进行加密保护。当然加密的保护能力要强得多!
Themida - Winlicense Ultra Unpacker 教程
最新发布
05-08
脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
工具:dumpDex的使用详解
热门推荐
数据知道的博客
09-04 2万+
一个开源的 Android 插件工具,需要xposed支持。可以用来掉当前市场上大部分的
最新乐加固详细教程(有图有真相)
没有功夫的熊猫2 的博客
12-02 1万+
一、前言声明: 本次破解是基于Xposed Installer框架,具体使用方法请上网查询。假设你已经安装好框架,按照下面的步骤,实现乐加固加固修复DEX,并且重打包运行。本次选择的APP是小猿搜题,特此声明,本教程只用于个人学习交流,切勿用于商业用途,否则后果自负! 二、工具准备: FDex2 AndroidKiller Android逆向助手 三、操作步骤 1、从应用宝市...
2020android加固,360加固2020最新全套图文教程-一一网络
weixin_31993501的博客
06-03 7884
需要准备MT管理器16进制编辑软件[这里我用MT管理器VIP]软件[反射大师、微、Fdex2、你太美、xpu01]NP管理器[去除签名360校验,修复DEX]反射大师:1.启动反射大师,选择要的的软件2.启动要的软件3.点击红色六芒星,选择当前Activity4.选择写出DEX5.找到出的DEX,移动到一个自己创建的目录(方便寻找)6.使用(NP管理器、MT管理器)修复DE...
android so文件攻防实战-百度加固免费版libbaiduprotect.so反混淆
zhangmiaoping23的专栏
02-13 1302
转:[原创]android so文件攻防实战-百度加固免费版libbaiduprotect.so反混淆-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com 计划是写一个android中so文件反混淆的系列文章,目前只写了这一篇。 样本libbaiduprotect_dump.so来自看雪上的帖子:百度加固免费版分析及VMP修复 原文把整个流程已经分析很清楚了,这里就不分析了,只说怎么处理libbaiduprotect_dump.so里面的混淆。 第一种混淆:加入垃圾代码
百度加固逆向分析
六桥风月IT随笔
04-10 2413
最近一直在研究百度,发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享,共同学习进步。 下面开始: 一、init_array  我们发现init_array中存在多个函数地址,JNI_Onload为加密状态 动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。 之后遇到反调试崩溃退出。后来发现反
阿里第一代 android dex加固的方法
coc_k的博客
07-21 9265
测试程序 链接:http://pan.baidu.com/s/1cMGmF8 密码:8xgn环境: Android 4.2、dalvik模式、 root…使用到的工具: IDA 6.8 Android Device Monitor Android Killer V1.3.1.0 Android逆向助手V2.2 将程序拖入Android killer 工具中 ,弹出如下窗口在清单文件中看到a
frida-dexdump 工具
06-28
### 回答1: Frida-dexdump是一款用于Android应用程序的工具。它基于Frida框架,可以在运行时动态地注入代码,从而实现对应用程序的监控和修改。通过使用Frida-dexdump,用户可以获取应用程序的dex文件,进而进行反编译和分析。这对于安全研究人员和逆向工程师来说是非常有用的。 ### 回答2: Frida-Dexdump是一种工具,它使用Frida库提供的动态注入技术来实现。它可以帮助安全研究人员分析Android应用程序中的可执行文件(dex文件),以便他们能够防止应用程序的非法复制或修改。 Frida-Dexdump的主要优点是它不需要修改目标应用程序的源代码,因为它是通过在应用程序运行时动态注入实现的。这个过程非常简单,只需要在设备中安装Frida-server,然后运行Frida-Dexdump即可。过程中,它会将dex文件从目标内存中复制到本地磁盘,然后对该文件进行解密、反编译和分析。 此外,Frida-Dexdump还提供了一些其他有用的功能,例如提取应用程序进程的内存信息和文件系统信息,以及可以监视应用程序的API调用、函数调用和网络请求等操作,有助于发现应用程序中的漏洞和安全问题。 总之,Frida-Dexdump是一种非常有用的工具,它给安全研究人员提供了一个方便而有效的方式,来分析Android应用程序中的DEX文件,并发现和解决其中的安全问题。但需要注意的是,在使用该工具时,需要严格遵守法律法规,不得将其用于非法用途。 ### 回答3: Frida-Dexdump是一款非常强大的工具,它是基于Frida框架开发的,能够帮助开发者轻松地从安卓应用程序中提取dex文件,帮助开发者进行逆向分析,加深对程序的理解。 Frida-Dexdump的主要功能是从本地已安装的应用程序中提取dex文件,并将其保存到本地文件系统中,使其方便地进行后续分析。这个工具不仅能够Native方法,还可以有效地防止抓包等应用安全风险。 使用Frida-Dexdump非常容易,只需要在Frida Server启动的情况下,通过命令行来启动即可。可以利用命令行参数去指定你需要的应用程序包名,然后Frida-Dexdump就会自动使用Frida去hook这个被指定的应用程序,并提取它的dex文件。 Frida-Dexdump采用了一种非常高效的技术,它能够轻松地解析目标程序的内存结构,获取有关dex文件的相关信息,并且还能够将提取的dex文件保存在指定的本地文件系统中,方便开发者进行后续分析。值得一提的是,Frida-Dexdump支持多种不同的目标程序,包括应用程序、Framework、动态库等。 总的来说,Frida-Dexdump是一款非常强大的工具,可以帮助开发者轻松地进行逆向分析,深入探究Android应用的内部机制。它的强大功能和高效性使其受到广泛的关注和使用,目前已经成为许多安卓开发者逆向工程的首选工具之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值