delphi7aes加密解密与java互转_GDA脚本批量解密APP字符串向导

一些APK尤其是Android恶意代码会将自身的一些重要的字符串进行加密，加大逆向分析的难度，这类字符串往往数量比较大，很难一个一个进行处理。本文将介绍一种方法来解密这种字符串，并将解密的字符串应用于反编译器中。本次演示的案例来自于一款恶意代码（为了防止风险，不提供恶意代码样本），恶意代码信息如下：

[File Base Info]
File Name:	C:Users**fish.apk
Package Name:	fdsvcc.bcxa.bvdwq
Main Activity:	fdsvcc.bcxa.bvdwq.MainActivity
File Size:	2631444 bytes
MD5:		026d079284beaddf6ffda550bc9e3668
Packed:		Not Packed
Min SDK:	15
Target SDK:	28

python解密脚本代码：方法一 方法二

java解密代码：方法一、方法二(example8-decodestr,example8-decodestr2)

一、使用python脚本解密

1、通过GDA->String我们可以看到，该APP的大量字符串做了加密处理。如图：

其中加密字符串上千个，因此需要对其进行自动化批量解密。光标放在[]按下X(字符串交叉引用)我们可以清楚的看到解密函数，其中一个解密函数类似于如下红色矩形框中的函数：

以下我们将以该函数为例，利用该函数来解密所有与其相关的字符串。

双击函数Request.ALLATORIxDEMO来到函数的反编译代码：

可以看出，该解密函数从字符串尾部开始分别与0x27、0x65进行异或计算，因此实现起来也比较简单。

2、我们的目标是将该解密函数所能解密的所有字符串进行解密处理。因此我们的脚本可以通过如下步骤对所有字符串进行解密：

• 首先使用python重新实现 ALLATORIxDEMO(String p0)。
• 接下来需要定位app中ALLATORIxDEMO函数的位置，并找到所有引用该函数的调用者函数。
• 在调用者函数中提取出加密的字符串，然后解密并写回APP(不修改原始apk文件)

1） 解密函数python实现

使用python重新实现解密算法很简单，如下：

def decodeString(gda,idx):
    rawstr=gda.GetStringById(idx)
    if rawstr==None:
        return ''
    stri=rawstr
    ret=list(stri)
    i=len(stri)-1
    xx=''
    while i>= 0:
        ret[i]=chr(ord(stri[i])^39)//0x27
        if i <= 0:
            break
        i=i-1
        ret[i]=chr(ord(stri[i])^101)//0x65
        i=i-1
    xx = ''.join(ret)   
    return xx

2）定位解密函数

首先我们需要找到解密函数及其调动者。在反编译的ALLATORIxDEMO函数处按F5编译成smali代码如下图：

该函数的method index（该index为dex文件中方法的索引）为004fc9，然后我们通过如下代码定位到该函数。

def GDA_MAIN(gda_obj):
    gda=gda_obj             #GDA对象
    Dex0=gda.DexList[0]     #app的第一个DEX
    midx=0x4fc9             #method idx
method=Dex0.MethodTable[str(midx)] #通过methodTable快速查找方法。

这里method对象(类型为MethodInfo)就是我们要找的解密函数。method对象的callorIdxList（具体见GdaImport.py文件）属性便是该方法的所有调用者。通过遍历callorIdxList便可以访问所有的调用者。

3）定位字符串并解密

调用者找到后，我们还需要定位解密函数在调用者函数中的位置，以方便我们进一步定位字符串。我们回到GDA上看看调用者调用解密函数的上线文。

我们看到，字符串出现在解密函数ALLATORIxDEMO被调用上面，因此，我们可以对调用者进行反汇编(通过GetSmaliCodeById)得到smali，然后从解密函数被调用的行开始反向定位字符串，并将字符串的index提取出来解密，代码如下（原始代码中加入了字典callorTable={}和strIdxTable={}，防止重复操作）。

clist=method.callorIdxList
destr=''
for idx in clist:
        smalicode=gda.GetSmaliCodeById(idx)
        splitstr=smalicode.split('rn')
        i=0
        for sstr in splitstr:
            if '@004fc9' in sstr:
                line=splitstr[i-1]
                if 'string@' in line:
                    pos=line.find('ing@')+4
                    strIdx=line[pos:pos+4]
                    dstr=decodeString(gda,int(strIdx,16))
                    gda.SetStringById(int(strIdx,16),dstr)
                    destr+="[string@"
                    destr+=strIdx
                    destr+="] "
                    destr+=dstr
                    destr+='n' 
            i=i+1   

代码注解：首先遍历callorIdxList，这个列表里存放的是调用者函数的idx，我们可以通过GDA的API GetSmaliCodeById来反汇编该函数，接下来，将反汇编的代码按行进行分割，首先通过'@004fc9'来定位解密函数所在的行，然后反向搜索需要解密的字符串，提取出字符串的index，最后调用解密函数解密并通过API SetStringById写回到字符串中。代码中为了方便操作我加了字符串交互标志[string@xxxx].解密后如下：

光标放在[]中按X可以查看调用处的代码如下：

可以看到所有的解密后的字符串都直接反应在了反编译的代码中。

上面的方法简单易懂，但是稍微会慢些，第二种方法速度会更快，其基本不同在于不会对调用者进行反汇编，直接采用字节码的数据来定位字符串。具体见代码。

代码中使用API DumpHexData来提取调用者方法的字节码（以十六进制字符串的形式表示，返回字符串流），然后通过字节码特征定位要解密的字符串idx。

如何定位特征？通过上面的方法定位到其中一个调用者函数，然后编译成为smali, 鼠标右键->show bytecode分析解密字符串的定位特征：

首先找到“c94f”（0x4fc9），然后向前找到加密字符串idx.

二、使用java脚本解密

GDA提供给java使用的接口与python是相同的，具体分析不再累述。但是需要注意以下两点。

1.使用java处理字符串解密问题时，如果解密函数只使用了java基本库，可以直接使用反编译的代码进行解密，不需要额外写解密函数。

2.由于java虚拟机加载到进程后，无法动态释放和重载，所以在一个GDA进程里不能重复运行相同类名的java代码。