【逆向分析】静态分析_Navtive_小计

已于 2023-12-12 22:05:00 修改
阅读量439 收藏
点赞数
分类专栏: Android_Native层_安全 文章标签: android 逆向
于 2023-02-01 16:45:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/128795278
版权

静态分析so小计

源APK

https://github.com/eternalsakura/ctf_pwn/blob/master/android%E9%80%86%E5%90%91/mobicrackNDK.apk

jadx

[外链图片转存失败,源站可能有防盗在这里插入!链机制,建描述]议将图片上https://传(imbog.csdnimg.cnUOIFq178e04c873d54461beea41f2c2f80d31.png)http指向s://img-blog.csdnimg.cn/178e04c873d54461beea41f2c2f80d31.png)]
通过源码发现关键函数在

public native boolean testFlag(String str);

    static {
        System.loadLibrary("mobicrackNDK");
    }

所以要看native 也就是so的代码进行分析
在这里插入图片描述
可惜ida实在是难搞,所以浅尝下hopper,下载:https://www.hopperapp.com/download.html?
把so丢进去即可。
在这里插入图片描述
点左上角的转换
在这里插入图片描述
搜索testFlag
在这里插入图片描述
这一块地址有点奇怪,无法转化为c,但是肉眼可见的可读性还行。
双击后面的代码可以跳转到指定的基地址,估计就是函数
在这里插入图片描述
点上面的可以返回
在这里插入图片描述
因此照着这个思路可以看到主要的代码逻辑在
abcdefghijklmn
这个里面
在这里插入图片描述

直接看汇编

str        r0, [sp, #0xc8 + var_C0] (把r0的字数据转移到sp+200+var_C0这个地址上)
blx        strlen@PLT   ; strlen(blx是跳转到strlen函数地址)
movs       r4, #0x0 (赋值,r4现在的值是0)
cmp        r0, #0x10 (比较r0和16的大小,这里没太懂为啥是r0的长度)
beq        loc_102e(b是跳转,eq是=0的意思,就是以上面如果条件是等于则跳转)

loc_102e

adds       r6, r4, #0x0 (r6 = r4 + 0 = 0 + 0 = 0

然后线性往下走loc_1030

loc_1030:
ldr        r2, [sp, #0xc8 + var_C0](sp+200+var_C0这个地址上的数据读出来放到r2上,也就是上面的r0的数据,r0是长度为10的字符串,这里应该是r2现在是r0的首位)
add        r1, sp, #0x14(r1 = sp + 20)
ldrb       r3, [r2, r6] (将地址为r2+r6的数据读出来放到r3上,由于r6后面在+1所以r3就是r2的每一位,也就是input[i])
subs       r3, r3, r6 (r3 = r3 - r6)(那就是input[i] = input[i]-i)
strb       r3, [r6, r1] (将r3的数据转移到r6+r1的地址上,首先我们看r1是不变的,r6在递增,所以也就是input[i]-i会逐位的放到r3上)
adds       r6, #0x1 (r6 = r6 + 1)
cmp        r6, #0x8 (r6 和 8 的数据进行比较)
bne        loc_1030 (b是跳转,ne是不等于0时跳转,这里我们注意到loc_1030依旧是这个代码块逻辑,所以这是一个循环)

也就是

for (int i = 0; i < 8; i++)
{
	r3[i] = input[i] - i;
}

当跳出循环之后再线性往下走就行

ldr        r3, =0x2f3e  ; 0x113c (伪指令,相当于mov r3,0x2f3e)
movs       r4, #0x0 (这里r4 = 0 )
strb       r4, [r1, #0x8] (把r4的数据放到r1+8上面)
add        r3, pc       ; dword_3f88 (r3 = r3 + pc)
ldr        r3, [r3]     ; dword_3f88,seed (r3 = 读r3这个地址上的值)
ldr        r0, [r3]     ; argument "__s1" for method strcmp@PLT, "QflMn`fH",seed (r0 = 读r3这个地址上的值)
blx        strcmp@PLT   ; strcmp (strcmp)
cmp        r0, r4 (比较r0 = r4的值,这里注意r3是上一个循环处理过的字符串,r0是seed)
bne        loc_111e(如果不等于0 则跳转loc_111e,相等则往下线性走)

看上去是找java层的Calc

ldr        r0, [r5]
ldr        r1, =0x1756  ; 0x1140,0x1756
ldr        r3, [r0]
add        r1, pc       ; "com/example/mobicrackndk/Calc"
ldr        r3, [r3, #0x18]
blx        r3
str        r0, [sp, #0xc8 + var_C4]
cmp        r0, r4
bne        loc_1070

package com.example.mobicrackndk;
/* loaded from: classes.dex */
public class Calc {
    public static String key;

    public static void calcKey() {
        StringBuffer sb = new StringBuffer("c7^WVHZ,");
        key = sb.reverse().toString();
    }
}

找到了calcKey这个函数

loc_1070:
ldr        r0, [r5]     ; CODE XREF=abcdefghijklmn+128
ldr        r2, =0x1763  ; 0x114c,0x1763
ldr        r3, =0x1767  ; 0x1150,0x1767
ldr        r4, [r0]
movs       r1, #0xe2
lsls       r1, r1, #0x1
add        r2, pc       ; "calcKey"
ldr        r4, [r4, r1]
add        r3, pc       ; "()V"
ldr        r1, [sp, #0xc8 + var_C4]
blx        r4
subs       r2, r0, #0x0
bne        loc_109e

取calcKey这个函数的methodid,定位到key

loc_109e:
ldr        r0, [r5]     ; argument #1 for method _ZN7_JNIEnv20CallStaticVoidMethodEP7_jclassP10_jmethodIDz, CODE XREF=abcdefghijklmn+164
ldr        r1, [sp, #0xc8 + var_C4] ; argument #2 for method _ZN7_JNIEnv20CallStaticVoidMethodEP7_jclassP10_jmethodIDz
bl         _ZN7_JNIEnv20CallStaticVoidMethodEP7_jclassP10_jmethodIDz ; _JNIEnv::CallStaticVoidMethod(_jclass*, _jmethodID*, ...)
ldr        r0, [r7]
ldr        r2, =0x1747  ; 0x115c,0x1747
ldr        r3, =0x1749  ; 0x1160,0x1749
movs       r1, #0x90
lsls       r1, r1, #0x2
ldr        r4, [r0, r1]
add        r2, pc       ; "key"
add        r3, pc       ; "Ljava/lang/String;"
adds       r0, r7, #0x0
ldr        r1, [sp, #0xc8 + var_C4]
blx        r4
subs       r4, r0, #0x0
bne        loc_10ce

loc_10ce:
ldr        r2, [r7]     ; CODE XREF=abcdefghijklmn+218
movs       r3, #0x91
lsls       r3, r3, #0x2
ldr        r3, [r2, r3]
ldr        r1, [sp, #0xc8 + var_C4]
adds       r2, r4, #0x0
adds       r0, r7, #0x0
blx        r3
adds       r1, r0, #0x0
ldr        r0, [r5]
movs       r2, #0xa9
lsls       r2, r2, #0x2
ldr        r3, [r0]
add        r4, sp, #0x20
ldr        r3, [r3, r2]
movs       r2, #0x0
blx        r3
adds       r5, r0, #0x0
b          loc_1102

注意这块的位置loc_1102 -> loc_10f4 往下走又是loc_1102


             loc_10f4:
000010f4         ldr        r1, [sp, #0xc8 + var_C0]  (r1现在又是我们输入的字符串的首位)                          ; CODE XREF=abcdefghijklmn+296
000010f6         adds       r3, r4, r6 ( r3 = r4 + r6 由于r6上面到8 所以是从8 开始) 
000010f8         subs       r3, #0x8 (r3 = r3 - 8)
000010fa         ldrb       r2, [r1, r6] (r1 + r6 的值也就是input[i] 给 r2)
000010fc         subs       r2, r2, r6 (r2 = r2-r6 也就是input[i] - i)
000010fe         strb       r2, [r3] 将r2的值存到r3
00001100         adds       r6, #0x1 (r6 = r6 + 1 )

             loc_1102:
00001102         adds       r0, r5, #0x0  这里r0 = r5 +0                                       ; argument "__s" for method strlen@PLT, CODE XREF=abcdefghijklmn+270
00001104         blx        strlen@PLT                                          ; strlen
00001108         adds       r0, #0x8 (这里r0 = len(r0) + 8)
0000110a         cmp        r6, r0  
0000110c         blo        loc_10f4 (如果r6< len(r0) + 8 则跳转到loc_10f4,这里的r0应该就是上面calc函数返回的key的值)

所以这里转换出来就是

for (int i = 8; i < 16; i++)
{
	s3[i - 8] = input[i] - i;
}

所以输入
所以输入就可以变成

input_str = "QflMn`fH,ZHVW^7c"
output_str = ""
num = 0
for i in input_str:
    output_str += i + num
    num += 1

然后就是init初始话的时候对seed进行了操作
在这里插入图片描述

             loc_117e:
0000117e         ldrb       r3, [r4, r7]                (seed从第0位开始)                        ; CODE XREF=__init_my+36
00001180         subs       r3, #0x3 (绕r3 = r3 -3 = seed[i] - 3)
00001182         strb       r3, [r6, r7] 把r3存起来
00001184         adds       r7, #0x1 (+1递增)

             loc_1186:
00001186         ldr        r4, [r5]        (r4就是seed)                                    ; CODE XREF=__init_my+16
00001188         adds       r0, r4, #0x0                                        ; argument "__s" for method strlen@PLT
0000118a         blx        strlen@PLT                                          ; strlen
0000118e         cmp        r7, r0 ( r7从0开始)
00001190         blo        loc_117e

seed先做一层-3处理,所以前8位再-3即可,然后适配下python脚本

input_str = "QflMn`fH,ZHVW^7c"
output_str = ""
num = 0
for i in input_str:
    if num < 8:
        output_str += chr(ord(i) + num - 3)
    else:
        output_str += chr(ord(i) + num)
    num += 1

print(output_str)

后话

静态分析native原生程序,初步了解汇编,后续还需要多读代码。印象比较深刻的有如下:

  • ldr是读
  • strb是存
  • mov是赋值
  • 循环大概是什么样子

参考链接

https://ctf-wiki.org/android/basic_reverse/static/so-example/
https://github.com/wnagzihxa1n/CTF-Mobile-Tutorial/blob/master/2015%E6%B5%B7%E5%B3%A1%E4%B8%A4%E5%B2%B8CTF/%E4%B8%80%E4%B8%AAAPK%EF%BC%8C%E9%80%86%E5%90%91%E8%AF%95%E8%AF%95%E5%90%A7ndk/WriteUp.md

_HWHXY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android native 反编译,Android逆向系列之静态分析(四)–Native
weixin_39805195的博客
05-25 519
基本方法静态分析原生层程序基本的过程如下直接解压提取 so 文件(/lib文件夹)ida 反编译 so 文件阅读Arm汇编or反汇编代码根据 java 层的代码来分析 so 代码。根据 so 代码的逻辑辅助整个程序的分析。原生层静态分析例子2015-福建海峡两岸CTF-APK逆向,逆向试试吧反编译利用jadx反编译apk,确定应用的主活动程序的主活动为 com.example.mobicrac...
Android NDK: From Elementary to Expert Episode 12
独行者103的专栏
07-05 439
Android NDK: From Elementary to Expert Episode 12
动态链接分析和总结
ii0789789789的博客
02-09 899
再假设module.c是一个共享模块的一部分,那么再-fPIC的作用下,产生的依然是跨模块的代码,因为编译器无法确定对global的引用时跨模块的还是模块内部的,而且即使时模块内部的,那么可执行文件还是可以对global进行引用,也会导致上面的问题,所以共享模块对global的应用都需要指向可执行文件中的副本。假设A.o和B.o依赖C.o;不过在现代的体系结构中,数据的相对寻址是没有 相对于当前指定地址(PC) 的寻址方式的,所以ELF用了一个巧妙地方式得到PC地址,然后再加上偏移量就得到数据地址了。
Android逆向之旅---静态分析技术来破解Apk
weixin_30835933的博客
11-28 588
一、前言从这篇文章开始我们开始我们的破解之路,之前的几篇文章中我们是如何讲解怎么加固我们的Apk,防止被别人破解,那么现在我们要开始破解我们的Apk,针对于之前的加密方式采用相对应的破解技术,Android中的破解其实大体上可以分为静态分析和动态分析,对于这两种方式又可以细分为Java层(smail和dex)和native层(so)。所以我们今天主要来讲解如何通过静态分析来破解我们的apk,这...
逆向分析静态分析_Navtive_ISCC_2017
HWHXY的博客
02-01 313
ISCC_2017 MOBILE 小记
某搜索app的native分析
weixin_42545308的博客
11-16 361
某搜索引擎,微信公众号文章,pc端没有时间排序功能,只有app可以筛选时间。 通过抓包看到请求的request和response都是加密的,ok开始分析 搜索大法,直接搜url,就可以直接定位关键点。request加密和response解密的位置似乎都很清晰了,加解密都是通过SCoreTools.so中的函数来实现的。这里定位还是比较容易的,直接打开so文件开始分析。 ida打开so文件,查看导出表,四个静态注册的函数,先来看一下请求的encrypt。 通过hook观察,第一个参数是固定的一个ur
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
Android软件安全与逆向分析》是一本深入探讨Android应用安全和逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全与逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航
09-21
这个名为“dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航”的压缩包,显然是一个针对逆向分析的学习资源集合,其中包含了“dss.CHM”这一文件,很可能是一个详细的教程或指南。 逆向分析,简单来说,就是通过分析...
online_fengci_逆向分析_中文分词_
10-04
标题中的"online_fengci_逆向分析_中文分词_"揭示了这个压缩包文件的主要内容,涉及到在线分词(online_fengci)以及逆向分析(reverse analysis)技术在处理中文分词(Chinese word segmentation)问题上的应用。...
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
易语言逆向分析助手3.0
08-04
3. **静态分析**:提供静态代码分析功能,包括数据流分析和控制流分析,以便在不运行程序的情况下揭示潜在的结构和模式。 4. **调试器**:内置调试功能,允许用户设置断点、单步执行、查看寄存器状态等,便于深入...
app安卓逆向之native层代码静态分析基础
weixin_43900244的博客
06-24 4370
app安卓逆向之Native层代码静态分析基础Native层代码静态分析1.背景分析2.概述3.开始3.1 ARM指令3.2 IDA基本使用方法3.3 Java层调用Native层方法原理3.4 Native层代码的修改3.5 So文件替换4.总结 Native层代码静态分析 1.背景分析 在安卓逆向的过程当中会遇到以下场景 经过上一阶段的Java层代码静态分析以及动态调试,发现加密参数的生成方法调用了Native层方法 经过对Native层代码分析后修改对应代码,替换原so文件发现app运行异常 针对
【愚公系列】2023年05月 攻防世界-MOBILE(app1)
热门推荐
时光隧道
12-09 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
【愚公系列】2023年05月 攻防世界-MOBILE(Ph0en1x-100)
时光隧道
12-17 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
【愚公系列】2023年05月 攻防世界-MOBILE(黑客精神)
时光隧道
12-24 3万+
下面介绍两个反编译工具jadx是一个用于反编译Android APK文件的开源工具,静态反编译,查找索引功能强大jeb和IDA很像,属于动态调试,可以看java汇编也可以生成伪代码,还可以动态attach到目标调试对于so文件的逆向工具选择IDA逆向工具是一款反汇编器,被广泛应用于软件逆向工程领域,能够反汇编各种不同平台的二进制程序代码,并还原成可读的汇编代码。
Android 系统网络、时间服务器配置修改
ange_li的博客
07-03 223
刷机国外android rom 修改配置的常用命令
Android 分区存储
xingyu19911016的博客
07-02 841
Android 11(API 30)及更高的版本中,如果申请了 MANAGE_EXTERNAL_STORAGE 权限,通常不需要再显示申请 WRITE_EXTERNAL_STORAGE 和 READ_EXTERNAL_STORAGE 权限,因为 MANAGE_EXTERNAL_STORAGE 权限已经允许应用全面的访问共享存储空间(包括读写权限)。从 Android 10 开始,对共享存储的读写权限变得更加严格,开发者可以选择是否使用分区存储,Android 11 中强制使用了分区存储。
android 国内下载Gradle源
听我俩天的博客
07-03 277
在中国使用 Gradle 时,可以配置使用一些国内的镜像源,以提高下载速度和稳定性。使用这些国内镜像源可以显著提高 Gradle 的下载速度。使用这些镜像源地址。
Android 开发中 C++ 和Java 日志调试
最新发布
小羊子的技术专栏
07-04 889
Android 开发中 C++ 和Java 日志调试方法小结
逆向工程静态分析计术详解
04-23
非常抱歉,我的程序并不具备获取和分享任何私人信息的能力。同时,我的能力和知识结构是基于开放式的数据和信息进行学习和训练的。 关于您提到的问题,逆向工程静态分析计术是一种通过静态代码分析的方式来分析和理解软件程序的技术和方法。这种技术主要涉及到代码的反汇编、反编译、静态分析、动态跟踪等方面的知识和工具。这种技术被广泛应用在软件开发、软件调试、安全评估、反病毒软件等领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值