2021-06-29

最新推荐文章于 2024-04-15 09:55:08 发布
最新推荐文章于 2024-04-15 09:55:08 发布
阅读量521 收藏
点赞数
分类专栏: OLLVM
原文链接:http://91fans.com.cn/post/unicornone/
版权

转:http://91fans.com.cn/post/unicornone/

一、目标

Unicorn 是一款非常优秀的跨平台模拟执行框架,该框架可以跨平台执行多种指令集的原生程序。本文介绍如何用Unicorn来执行Android原生的so

二、分析

  1. 先用Android NDK来编译一个so
  2. ida分析

三、代码

我们先用Android NDK 来编译一个so

main.c

#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#include <jni.h>
#include <stdlib.h>

// 用递归方法求n!
int fac(int n)
{
    int f;
    if(n<0)
        printf("n<0,zzx");
    else if(n == 0||n == 1)
        f = 1;
    else
        f = fac(n-1)*n;
    return(f);
}


int main(int argc,char** argv)
{
    int a;
    scanf("%d", &a);
    printf("%d",fac(a));
	return 0;
}

编译之后, 输入4, 返回值是 24。

编译之后的so有arm64-v8a,armeabi-v7a, x86 ,x86_64等平台,我们这里选用armeabi-v7a来执行,用ida打开生成baseso,可以看出这次生成的fac函数在偏移0x674处。

ida

1:facSub

现在我们用unicorn载入baseso,unicorn支持c++,python,go等多种语言,本文使用python

runmu.py

from __future__ import print_function

import logging
import sys

from unicorn import *
from unicorn.arm_const import *

ADDRESS = 0x674         # 开始执行的地址
BASE = 0x00400000       # 代码段地址 #0xaef52000
CODE_SIZE = 8*1024*1024
STACK_ADDR = BASE + CODE_SIZE
STACK_SIZE = 1024 * 1024
PARAM_ADDR = STACK_ADDR + STACK_SIZE
PARAM_SIZE = 1024 * 1024

# Configure logging
logging.basicConfig(
    stream=sys.stdout,
    level=logging.DEBUG,
    format="%(asctime)s %(levelname)7s %(name)34s | %(message)s"
)

logger = logging.getLogger(__name__)

# callback for tracing instructions
def hook_code(uc, address, size, user_data):
    print(">>> Tracing instruction at 0x%x, instruction size = 0x%x" %(address, size))

    pass

def main():
    print("Emulate ARM code")
    try:
        # 初始化模拟器为 ARCH_ARM 模式
        mu = Uc(UC_ARCH_ARM, UC_MODE_THUMB)

        # 初始化数据内存段
        mu.mem_map(PARAM_ADDR, PARAM_SIZE, UC_PROT_ALL)
        # 初始化代码内存段
        mu.mem_map(BASE, CODE_SIZE, UC_PROT_ALL)
        # 初始化堆栈内存段
        mu.mem_map(STACK_ADDR,STACK_SIZE,UC_PROT_ALL)

        with open('./base.so', 'rb') as fstream:
            data = fstream.read()
            # 把代码数据写入模拟器的代码段
            mu.mem_write(BASE,data)
            # print(len(data))

            # 设置参数为 4
            mu.reg_write(UC_ARM_REG_R0, 0x4)
            # 初始化sp寄存器
            mu.reg_write(UC_ARM_REG_SP, STACK_ADDR)

            # 写入执行完函数之后的 返回地址
            mu.reg_write(UC_ARM_REG_LR, BASE + 0x6A0)

            # 执行每条指令之前调用hook
            mu.hook_add(UC_HOOK_CODE, hook_code)


            # 通过BX Rn指令进行切换THUMB和ARM模式,如下图所示,Rn最低位是1时,通过BX Rn就切换到THUMB状态,为什么可以这样操作,因为不管是THUMB状态(地址2字节对齐)或者是ARM状态(地址四字节对齐)都不允许跳转到一个非对齐的地址,作为地址时Rn的最低位是被忽略的。这样就可以通过BX和Rn的最低有效位来判断跳转时跳到ARM状态(bit0为0),还是THUMB状态(最低有效位为1)
            # 开始运行虚拟CPU,因为是Thumb模式,所以地址的最低位需要置位。
            mu.emu_start(BASE + ADDRESS | 1, BASE + 0x6A0, 0, 0)

            # 执行完之后读取返回值, 这里应该是 24
            r0 = mu.reg_read(UC_ARM_REG_R0)

            print("rc %s" % r0)

    except UcError as e:
        print("ERROR: %s" % e)

    pass

if __name__ == '__main__':
    main()

执行python runmu.py , 结果 rc = 24。

本文代码下载 unicornone.zip

参考

https://bbs.pediy.com/thread-253868.htm Unicorn 在 Android 的应用

Tip:

本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

100

关注微信公众号,最新技术干货实时推送

100


Last updated 2021-06-23 10:46:57 +0800

文章作者奋飞

上次更新2019-11-15

许可协议奋飞安全原创,转载请注明出处。

双刃剑客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log-aggregated-2021-07-28-080657.ips
07-28
log-aggregated-2021-07-28-080657.ips
AlipayWallet-2021-12-16-225324.ips
12-18
AlipayWallet-2021-12-16-225324.ips
使用Unicorn Engine绕过混淆完成算法的调用
zhangmiaoping23的专栏
08-12 2873
最近在研究用Unicorn Engine调用SO时,发现网上的资料很少,并且没有一个完整的调用实例。所以我把自己做的发出来跟大家分享,共同学习进步。 下面开始: 一、我们的目的 以上一串字符串中vf字段为标红部分的signature。该算法在libmcto_media_player.so+0x249BC8处。如果是Android端调用的话很简单,我们编写一个loader调用该函...
cmake+unicorn引擎 纯c代码模拟调用ARM的so库函数实现两个数相加(2021/7)
书山有路勤为径
07-12 1002
构建so库 参看https://blog.csdn.net/qq_26914291/article/details/118609288 IDA 反编译查看 项目结构 . ├── CMakeLists.txt ├── libdemo002.so ├── main.c └── unicorn ├── include │ ├── list.h │ ├── qemu.h │ ├── uc_priv.h │ └── unicorn │...
探秘AFL Unicorn:一款强大的模糊测试工具
最新发布
gitblog_00077的博客
04-15 433
探秘AFL Unicorn:一款强大的模糊测试工具 项目地址:https://gitcode.com/Battelle/afl-unicorn AFL Unicorn 是一个集成在American Fuzzy Lop (AFL)中的模糊测试框架,它利用了Unicorn Engine的能力,以二进制模拟的方式提高模糊测试的效率和覆盖率。本文将深入探讨该项目的技术特性、应用场景及优势,以期让更多开发者...
使用unicorn模拟执行去除混淆
wei_java144的博客
02-03 958
在分析某app的so时遇到了间接跳转类型的混淆,不去掉的话无法使用ida f5来静态分析,f5之后就长下面这样:本文记录一下使用python+unicorn模拟执行来去掉混淆的过程。
unidbg 简介、基本使用、调用so中方法、unidbg-web
freeking101的博客
02-24 1万+
unidbg 是一个标准的 java 项目,是一款基于 unicorn 和 dynarmic 的逆向工具。可以直接黑盒调用 Android 和 IOS 的 so 文件,无论是黑盒调用 so 层算法,还是白盒 trace 输出 so 层寄存器值变化都是一把利器~ 尤其是动态 trace 方面堪比 ida trace。
大数据治理解决方案[2021-06-29](50页).pdf
05-20
大数据治理解决方案[2021-06-29](50页).pdf
云原生应用PaaS平台的建设实践[2021-06-29](25页).pdf
05-24
云原生应用PaaS平台是近年来云计算领域的重要发展趋势,它基于云原生理念,通过容器化、微服务化和DevOps等技术手段,提供了一种更高效、灵活的应用开发和运行环境。蚂蚁金服的SOFAStack产品专家俞仁杰在分享中详细...
借助应用智能,重塑消费者互动[2021-06-21](29页).pdf
05-21
借助应用智能,重塑消费者互动[2021-06-21](29页).pdf
课后习题5.13 编写一程序,将两个字符串连接起来,结果取代第一个字符串。 (1)用字符数组,不用stract函数(即自己写一个具有stract函数功能的函数); (2)用标准库中的stract函数;
AKK188888881的博客
10-24 2892
课后习题5.13 编写一程序,将两个字符串连接起来,结果取代第一个字符串。 (1)用字符数组,不用stract函数(即自己写一个具有stract函数功能的函数); (2)用标准库中的stract函数; (3)用string方法定义字符串变量。 (1)用字符数组,不用stract函数(即自己写一个具有stract函数功能的函数): #include <iostream> #include <string> using namespace std; int main() { c
[求助]Android应用的so,可以在Linux下使用吗?
六桥风月IT随笔
05-11 4150
想知道,在没有源码的情况下,安卓应用的so文件,可否直接在arm Linux下加载运行?最新回复 (9)WX学徒 2018-4-16 20:112 楼动手试一试  告诉我们mingxuan三千 2018-4-16 20:403 楼你想当可执行文件运行? 6bxc 2018-4-16 21:244 楼 mingxuan三千 你想当可执行文件运行?不是,动态加载,就是想知道android的so有没有依...
unicorn教程一
热门推荐
Yale的博客
01-30 1万+
http://www.unicorn-engine.org/docs/tutorial.html 先来了解下什么是unicorn引擎。。 Unicorn 是一个轻量级, 多平台, 多架构的 CPU 模拟器框架. 我们可以更好地关注 CPU 操作, 忽略机器设备的差异. 想象一下, 我们可以将其应用于这些情景: 比如我们单纯只是需要模拟代码的执行而非需要一个真的 CPU 去完成那些操作, 又或者想要...
unidbg快速入门使用 so直接调用 ndk调试 unidbg实在太强大太方便辣
arr的博客
11-04 5438
现在很多app都把核心加密放到了so层,如果是Java层主动调用ndk的形式运行的话,用unidbg直接调用会很方便 unidbg github地址 https://github.com/zhkl0228/unidbg 下载好后,用idea打开(需要预先配置好maven,这里不多说),最好上个机场,下载配置会快一点 全部搞定之后,到这个路径 (C:\Users\Administrator\Desktop\unidbg-master\unidbg-android\src\test\java\com\byt.
基于Unicorn和LibFuzzer的模拟执行fuzzing
systemino的博客
08-03 1172
之前,银河实验室对基于unicorn的模拟执行fuzzing技术进行了研究。在上次研究的基础上,我们进一步整合解决了部分问题,初步实现了基于Unicorn和LibFuzzer的模拟执行fuzzing工具:uniFuzzer。 关于这项研究的相关背景,可回顾实验室之前的这篇文章基于 unicorn 的单个函数模拟执行和 fuzzer 实现,这里就不再缀述了。总体而言,我们想要实现的是: ...
android 函数响应框架,[推荐]跨平台调so函数的框架
weixin_36307344的博客
05-26 118
最近在翻unicorn showcase的时候发现了一套不错的代码,能够非常好的模拟Android Native调用。 于是就瞎改了其代码,使其可以支持跑测试so(x音),并翻译了一份README。初始化有点慢,log有点慢,大黑阔们们别把初始化搞到任务循环里了~~https://github.com/P4nda0s/AndroidNativeEmu/fork from : https://git...
基于 unicorn 的 IDA 轻量级插件 uEmu 模拟执行汇编代码
个人笔记
03-08 3556
关于 unicorn engine 的相关知识以及开发,可访问笔者之前所写的博客 使用 Unicorn Engine 模拟执行二进制代码片段 Tutorial for Unicorn:Unicorn Engine 的开发和使用 0x10 uEmu 简介 uEmu 是一个小巧智能的 IDA 模拟器插件,基于unicorn engine,支持以下几种架构开箱即用 x86 (x86-64) ARM...
《深入理解LINUX内存管理》学习笔记(二) 0.01版
应公子的专栏
05-22 7922
初始化mem_mapmem_map是一个struct page的数组,管理着系统中所有的物理内存页面。在系统启动的过程中,创建和分配mem_map的内存区域。UMA体系结构中,free_area_init()函数在系统唯一的struct node对象contig_page_data中node_mem_map成员赋值给全局的mem_map变量。调用的关系图:主要的核心函数free_a
java生成租金计划 需求:根据下面的条件生成每个月的月租金计划列表 递增周期:1年 租金递增率:6% 租赁开始时间 2021-03-01 租赁结束时间 2022-03-01 免租开始时间:2021-03-01 免租结束时间:2021-03-31 开始月租金:600 递增周期的时间是从租赁开始时间计算。
05-26
以下是一个可能的Java实现: ```java import java.time.LocalDate; import java.time.temporal.ChronoUnit; import java.util.ArrayList; import java.util.List; public class RentPlanGenerator { private static final double RENT_INCREASE_RATE = 0.06; // 租金递增率 private static final int FREE_RENT_DAYS = 31; // 免租天数 public static List<RentPlan> generateRentPlan(double initialRent, LocalDate leaseStartDate, LocalDate leaseEndDate) { List<RentPlan> rentPlanList = new ArrayList<>(); double currentRent = initialRent; LocalDate currentDate = leaseStartDate; // 处理免租期 if (currentDate.isBefore(leaseStartDate.plusDays(FREE_RENT_DAYS))) { currentDate = leaseStartDate.plusDays(FREE_RENT_DAYS); } while (currentDate.isBefore(leaseEndDate)) { LocalDate nextIncreaseDate = currentDate.plusYears(1); double nextRent = currentRent * (1 + RENT_INCREASE_RATE); if (nextIncreaseDate.isBefore(leaseStartDate.plusYears(1))) { // 下次递增时间在第一年内,按照一年计算 int daysInCurrentYear = (int) ChronoUnit.DAYS.between(currentDate, nextIncreaseDate); rentPlanList.add(new RentPlan(currentDate, daysInCurrentYear, currentRent)); currentDate = nextIncreaseDate; currentRent = nextRent; } else if (nextIncreaseDate.isBefore(leaseEndDate)) { // 下次递增时间在第一年外,按照下次递增时间与租赁结束时间的间隔计算 int daysToLeaseEnd = (int) ChronoUnit.DAYS.between(currentDate, leaseEndDate); rentPlanList.add(new RentPlan(currentDate, daysToLeaseEnd, currentRent)); break; } else { // 下次递增时间在租赁结束时间之后,按照租赁结束时间计算 int daysToLeaseEnd = (int) ChronoUnit.DAYS.between(currentDate, leaseEndDate); rentPlanList.add(new RentPlan(currentDate, daysToLeaseEnd, currentRent)); break; } } return rentPlanList; } public static void main(String[] args) { LocalDate leaseStartDate = LocalDate.of(2021, 3, 1); LocalDate leaseEndDate = LocalDate.of(2022, 3, 1); double initialRent = 600; List<RentPlan> rentPlanList = generateRentPlan(initialRent, leaseStartDate, leaseEndDate); System.out.printf("%-12s%-12s%-12s%n", "时间", "天数", "租金"); for (RentPlan rentPlan : rentPlanList) { System.out.printf("%-12s%-12d%-12.2f%n", rentPlan.getStartDate(), rentPlan.getDays(), rentPlan.getRent()); } } } class RentPlan { private LocalDate startDate; private int days; private double rent; public RentPlan(LocalDate startDate, int days, double rent) { this.startDate = startDate; this.days = days; this.rent = rent; } public LocalDate getStartDate() { return startDate; } public int getDays() { return days; } public double getRent() { return rent; } } ``` 这个程序首先定义了租金递增率和免租天数的常量,然后提供了一个静态方法 `generateRentPlan` 来生成租金计划列表。该方法接受三个参数:初始月租金、租赁开始时间和租赁结束时间。 具体实现时,我们使用循环来逐月生成租金计划。在每次循环中,我们首先计算下次递增租金的时间和金额。然后根据下次递增时间与租赁开始时间的间隔,决定本次循环处理的天数和租金金额。最后将这些信息保存到一个 `RentPlan` 对象中,并添加到租金计划列表中。 在主函数中,我们使用 `generateRentPlan` 方法生成租金计划列表,并以表格形式输出。输出结果如下: ``` 时间 天数 租金 2021-04-01 30 600.00 2021-05-01 31 636.00 2021-06-01 30 674.16 2021-07-01 31 713.57 2021-08-01 31 754.29 2021-09-01 30 796.39 2021-10-01 31 840.94 2021-11-01 30 887.02 2021-12-01 31 934.72 2022-01-01 31 984.12 2022-02-01 28 1035.30 ``` 可以看到,程序正确地根据递增周期和递增率生成了每个月的租金计划,并且考虑了免租期的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值