android jni 反调试,[原创]逆向分析反调试+ollvm混淆的Crackme

最新推荐文章于 2024-05-20 18:45:51 发布
最新推荐文章于 2024-05-20 18:45:51 发布
阅读量554 收藏 2
点赞数
文章标签: android jni 反调试

最近学了点ollvm相关的分析方法,正好之前朋友发我一个小demo拿来练练手.

38fe5cbab18b51b49ebb38e33d57be05.png

看上去很简单 就是找flag用jadx打开发现加壳了

808372011c0e26f6a5acdc57772ac0b7.png

然后想试试直接用fridadexdump脱壳的时候发现frida上就崩了

480dfc2227057626d5c8fbb98181d622.png

上葫芦娃的strongfrida 直接重启了!....

这只能去过反调试了,打开so找了下.init和.initarray(反调试常见位置,so比较早的加载时机)

099a7b09d42f61ce902abadaf19c1814.png

ctrl+s 打开 initarray里面有两个奇怪的函数 decode,这就是ollvm默认的字符串加密

5bab8f1ee7a60d17fdad084288e70aa2.png

导出函数中搜索init 找到里面也有函数定义,创建了一个线程执行反调试函数,进入这个函数看到字符串都被加密了

1af29bda4dc26bed8e02b2117be1b9c6.png

看了下代码 有个kill函数,一开始就行hook kill函数不让他自杀,发现没用...

e60db751655dfa42ef147af1d1699849.png

然后我继续找了下发现有个strstr函数 这有点可疑,拿来比较字符串的,直接hook一波

b2a13d81167bdd9188333dce1add85ca.png

从代码中得知str2是我们要关心的对象,是个char*类型直接readCstring打印

然后发现出现很多frida 然后进程就崩了

045fc34b0afa03868aa9ebae58ab0bed.png

所以接下来就有两种方法 直接hook create_pthread不让这个线程程起来 和 hook strstr,我这就直接hook str了.

e5a438f99b498ab847b3218f47df43c9.png

然后就不崩了,可以愉快的frida了~

先拖个壳,Fridadexdump一波(可以直接fart脱的全,但是懒的刷机,直接用这个了..),hook events定位

7315d43c523559f48163bbaca9510673.png

065374245291de840161dd7a8a464822.png

oncreate直接是native化了 应该是360的vmp, 这里肯定不是让你逆360的vmp,盲猜一波就是check方法,先hook一下.

6d2174f1122ac06f787376b7db310109.png

直接返回false,应该是true就会拿到flag,为了不每次都手动输入 直接写个主动调用.

7fb153990d958453f49ef11e9ae61d97.png

接下来去看so了,导出函数就这几个..肯定是动态注册,先直接hook

1ab238e46b6522e79ba4faa7d111298e.png

a11f83b58aad83b56f5ddaa30f6f7873.png

hook到了偏移,去so看一下

b7f9c02e9d52d02fea5e2531d289a592.png

改了些名字后 操作流程就是将输入的jstring转为char* 然后判断长度是否为20看到很多都是unk_开头的,这些就是被ollvm加密后的字符串,要怎么看他解密后的内容呢?因为他加载到内存的时候肯定是解密状态,直接读这个地址打印cstring就可以得到解密后的字符串了.

664d3d13d3c836ee7bc5c2a2ed2da08f.png

然后继续改名,改完名字就是这样

e057c556e7b63b7b871a445b27ce74c4.png

发现他重新对check的方法进行了动态注册,然后sub_1234 里面也进行了动态注册里面嵌套了好几次动态注册,然后用strcmp比较 输入的值和 &unk_5100(解密后为kanxue) 如果相等那就返回true. 但是输入要20个字符 kanxue 只有6个字符,我们hook一下这个比较的地方看看,

直接hook strcmp蹦的比较厉害,我选择inlinehook,按tab切换到汇编,打开opcode,s1的值给到了R0 我选择在0x1564进行hook,因为是 2个opcode 所以为thumb指令,需要地址+1

2859a280af7a9001e9dd0927671d3603.png

10300f61fa3b57f659554bcab77d7569.png

27233d02b5f346474ef94de0f09c7483.png

我们输入了kanxue00000000000000,hexdump打印s1,发现s1就是kanxue,但是程序没提示通过,然后hook registernative hook到他又进行了2次动态注册,根据这个地址 我们往前找

dfae7ac2b76df187e892299d243d26ff.png

ee21cd4b539695cd0211282b2440976d.png

发现第二次动态注册的和最开始的代码很像,第三次就短了很多,然后仔细一看第二次动态注册中又注册了sub_1148, 原来就是嵌套了3次动态注册,注册了3个函数,根据一开始的分析 对strcmp这里的字符串解密

8b1f9951859d0a3c6101bf4c1a6ec974.png

然后inlinehook剩下几个分别strcmp验证下

6fbf75e11677711ae644f96a0fb874ed.png

发现第二次比较是输入的8个0 这样区分不了是第几个输入,我们用abcd来实验,输入kanxueabcdefghieklfn 20个字符

ca67ec14a90496d1c6ce67dd69d66224.png

是abcdefgh 这8个,所以是加到kanxue后面的,然后真正的字符串之前我们已经解密了,是unk_50F7(即为training),然后后面猜也猜得到剩下6个字符是之前解密的unk_5096(即为course) 为了保证严谨性,我就在inlinehook一次

55a5102f470a9eaa30ec130146e789b1.png

果然就是我们最后六位进行比较 所以答案前面的解密的字符合起来,就是 kanxuetrainingcourse

638812dbb406d061393b28581a019cf7.png

24c6bf7e7eecb7644b0ac865f40270c5.png

这里有个bug 每次输错都要重启一次,不然到最后答案就变成course或者trainingcourse了~

上传的附件:

2、找出flag.apk

(2.36MB,44次下载)

weixin_39757893
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JNI 调试介绍
u014715599的博客
07-26 935
Author: Crystal 0X01 jni 调试介绍 为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Java native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0)。 2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如...
android 使用ollvm混淆so
yubang3223111的专栏
04-02 1046
ollvm
安卓JNI-OLLVM混淆
李玺
08-24 1408
LLVM是编译器的框架系统,OLLVM(Obfuscator-LLVM):混淆JNI文件的一种工具 OLLVM源码 : https://github.com/heroims/obfuscator/tree/llvm-8.0 控制流平坦化 平坦化是来重组原始代码执行流程,把原本易于阅读的代码流程重组成一个switch case形式的执行流程,所以被混淆的函数具有异常的控制流。 指令替换 使用功能上等效但更复杂的指令序列替换标准二元运算符(+ , – , & , | 和 ^) 虚假控制流程 这个模式主要
ANDROID OLLVM 混淆配置
最新发布
hsw
05-20 402
其实是存在的,为了解决只好打开。当我打开对应的文件夹,发现。这时就可以进行打包测试了,编译过程中我的报了错误。,然后再编译就好了。
逆向技能+2 JNI介绍
Tesi1a的充电桩
07-26 1046
http://www.cnblogs.com/devinzhang/archive/2012/02/29/2373729.html 关于NDK的介绍如上:JNIwhat 什么是JNI?*java native interface native 本地语言 系统是由什么开发的 linux是由c开发的 那么这种语言对于这个系统来说就是本地语言*native 本地语言 本地代码*作用是java 和c/c
Android jni调试打印char阵列的实例详解
08-29
"Android JNI 调试打印 char 数组的实例详解" Android JNI 调试打印 char 数组的实例详解是 Android 开发中的一种常见需求,特别是在 debug 和测试阶段。在 Android 中,使用 JNI 调用 native 方法时,需要将 char...
Android JNI 断点调试C++
03-05
本教程将聚焦于如何在Android环境中进行JNI的断点调试,特别是针对C++代码。 首先,我们需要理解Android NDK(Native Development Kit),它是Android开发的一部分,提供了一系列工具用于在Android应用中编写原生...
Android中的调试代码
05-29
在实际应用中,`EncryptDemo`可能是一个展示如何实现这些调试策略的示例项目,可能包括代码混淆、动态加载、JNI检测等多种技术的综合运用。通过研究和分析这个示例,开发者可以更好地理解和实践Android应用的...
VS2015 Android JNI 静态库 动态库 APK 本地调试DEMO
06-16
本DEMO主要探讨的是如何使用VS2015进行Android应用的JNI(Java Native Interface)开发,涉及到静态库与动态库的创建,以及APK的本地调试JNI是Java平台提供的一种接口,允许Java代码和其他语言写的代码进行交互...
Android给SO库增加混淆(OLLVM)
u013314647的博客
06-09 8604
唠嗑 Android代码,最好的逆向方式之一,莫过于混淆,特别是代码扁平化混淆。而JNI层,最简单zhi jie 简介
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
windows64位平台下编译 OLLVM6.0, 用于Android JNI开发的so混淆(包括字符串混淆
u012442804的博客
05-23 1836
windows64位平台下编译ollvm6.0(集成了字符串混淆功能)生成的lib和bin文件,放在android-ndk-r18b-windows-x86_64\android-ndk-r18b\toolchains\llvm\prebuilt\windows-x86_64目录下面即可使用。(因为lib和bin文件压缩后有400多M,上传资源的大小有限制,所以分两次上传, windows_oll...
Android SO文件保护加固——混淆篇(一)
热门推荐
雪一梦的博客
09-26 2万+
继上次基于源码级别和二进制级别的SO文件的核心函数保护后,没看的网友可以点击:点击打开链接;这篇是针对我们在JNI开发过程中利用javah生成本地层对应的函数名类似于java_com_XX这种形式,很容易被逆向者在逆向so的时候在IDA的Exports列表中找到这样一个问题,我们的目的就是让IDA在汇编过程显示不出来,以及就算找到函数实现也是乱码的形式接下来开始搞;有问题欢迎大家批评指正和讨论。
安卓开发之代码混淆
Codeoooo 博客
06-20 1875
首先在build.gradle中 将代码开启混淆 false -> true。Java层代码上上混淆,对抗编译,jadx及jeb。看了一眼代码混淆的看不清楚了,估计用jeb才可以稍微看清楚点逻辑。在打包apk的时候有两种模式: debug | release。debug: 调试模式 release :发布版本。so层:上ollvm代码混淆,vmp加固等。今天我们这里说一下java代码混淆,记录一下,方便以后使用。再套个壳,更看不懂了。众所周知,一般安卓开发,
CrackMe 之 006
sxr__nc的博客
10-19 216
在吾爱上边找到的资源,160个Crack me,第六个,网上有很多大佬也有写文章来讲解,当然在破解的时候也有参考,姑且记录下来,当作自己的学习资料: 拿到程序之后,查壳: die查壳: 可以看到是Delphi的程序,直接上手Darkde进行编译,这都是后话,在查完壳之后,获取到程序的一些基本信息。下一步先运行一下程序,对于程序有一个大致的了解: ...
Android OLLVM混淆实战
zhangmiaoping23的专栏
05-24 2258
前言 小弟我最近在研究ollvm平坦化的混淆,但网上的参考资料大多是x86的混淆,关于arm的少之又少,现正好手头有个app样本中运用了这种混淆技术,所以拿来练一练手。 app样本:douyin9.9.0 so样本:libcms.so 逆向工具:ida,jadx 观察函数控制流程图(CFG) 所要获取的签名算法位于leviathan方法中,该方法是个native方法,在libcms.so中没有静态关联函数,所以我们需要找到其动态注册的位置。 首先,分析Jni_OnLoad函数,Jni.
Android NDK 搭建 ollvm环境
分享Android开发知识
02-02 4724
一、llvm概念 LLVM是一套编译器基础设施项目,为自由软件,以C++写成,包含一系列模块化的编译器组件和工具链,用来开发编译器前端和后端。它是为了任意一种编程语言而写成的程序,利用虚拟技术创造出编译时期、链接时期、运行时期以及“闲置时期”的优化。 二、为什么要将llvm加入到ndk 我们的Android项目如果需要存储比较私密的数据,一般是存放在so文件中,为了防止so文件被破解所以我们需要用llvm混淆加密。 三、将llvm集成的ndk中 1、下载LLVM 直接下载整理好的移植版本,我选则了llvm
android混淆多个a b c,利用ollvm进行代码混淆
weixin_42498766的博客
05-26 448
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?OLLVM简介OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学于2010年6月份发起的一个项目,该项目旨在提供一套开源的针对LLVM的代码混淆工具,以增加对逆向工程的难度。OLLVM是基于LLVM实现的,LLVM是一个编译器框架,它也采用经典的三段式设计。前端可以使用不同的编译工具对代码文件做词法分析以...
ollvm混淆jni配置
03-13
OLLVM是一种基于LLVM的开源混淆工具,它可以用于保护Android应用程序的代码安全性。下面是OLLVM混淆JNI配置的简要介绍: 1. 配置NDK环境:首先需要安装NDK并配置好环境变量,确保可以在命令行中使用`ndk-build`命令。 2. 创建Android项目:创建一个Android项目,并在项目的`jni`目录下创建一个`Android.mk`文件和一个`Application.mk`文件。 3. 配置Android.mk文件:在`Android.mk`文件中添加以下内容: ``` LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) # 添加需要混淆的源文件 LOCAL_SRC_FILES := YourSourceFile.cpp # 添加需要链接的库文件 LOCAL_LDLIBS := -llog # 添加其他编译选项 LOCAL_CFLAGS += -fPIE # 添加混淆选项 LOCAL_CFLAGS += -mllvm -fla LOCAL_CFLAGS += -mllvm -split-crit-edge LOCAL_CFLAGS += -mllvm -sub include $(BUILD_SHARED_LIBRARY) ``` 4. 配置Application.mk文件:在`Application.mk`文件中添加以下内容: ``` APP_ABI := all APP_PLATFORM := android-14 APP_STL := gnustl_static ``` 5. 编译项目:在项目根目录下执行`ndk-build`命令,将会生成混淆后的动态链接库(.so文件)。 以上是OLLVM混淆JNI配置的简要介绍,希望对你有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值