360官网脱壳分析-2017-04-04

转：http://www.52pojie.cn/thread-595960-22-1.html

网上已经有很多360的脱壳教程了，看了好多后就想自己动手调试下。感谢各位大神无私分享的文章，本菜才能顺利过掉反调。本人是初涉逆向， 水平有限，秉着学习的目的，发帖分享自己的逆向学习过程，肯定会有些错误或分析不正确的地方，欢迎大牛指正，赐教，本菜鸟不胜感激。只是可以dump出   dex，还无法进行还原、安装运行。onCreate函数被动态注册为native，可以在so中找到注册的地址，可以结合静态和动态调试，有时间的话会继续研究下去。        第一  过反调试          主要在JNI_Onload函数的case 29，case33上下断点 1、  第一处反调试，应用调试的特性参考文档http://www.evil0x.com/posts/26301.html                     2、映射linker                        3、查看并修改符号rtld_db_dlactivity的值           0x2B= open("/system/bin/linker");第一处反调试            length= lseek(0x2B,0,SEEK_END);          lseek(0x2B,0,SEEK_SET);             mmap(NULL,0,1,2,0x2B,0)            在程序头表中查找第一个PT_LOAD段的p_vaddr             找到PT_DYNAMIC段 = r3 =0x0000FED4             r1= 基址+0x0000FED4             在动态段查找DT_STRTAB偏移为0x00000258 ，计算内存偏移                                               DT_SYMTAB偏移为0x00000168 ，计算内存偏移                     找到符号rtld_db_dlactivity ：基址+Elf32_Sym->st_value                       查看0x400E3BF8内存地址的指令                   将DE 10修改为nop指令 C0 46===>过掉第一处反调试 4、 第二处反调，此处LR的值为strtol，将其返回值修改为0，过掉第二处反调。            0x2E= open("/proc/self/status")；                           ;             strstr(read(),"TracePid");         strtol();              close(fd)                                           5、第三处反调    fd =open("/proc/net/tcp");第三处反调试                                  read();                                    strstr(xxx,"00000000:5D84");0x5D8A=23946    调试的时候可以不用远程端口号，或者修改内存中的值过掉反调试                            6、第四处反调             1）、文件监控线程， nop掉                   将736E0DE8地址nop，过掉文件监控线程                   pthread_create ===>sub_4B50 //第四处反调试                      {                                                inotify_init                                              inotify_add_watch                                      select                               }                            2）、文件监控线程，nop掉                     3）、文件监控线程，nop掉                      4）、文件监控线程，nop掉      总共有四处启动文件监控线程的点。 8. 第五处反调360会time()函数，通过比较差值，判断程序是否被调试，简单点，可是在time()函数上下断点，让其返回相同的，固定的值。刚开始调试可能会花 费大量的时间在反调试上面，等熟悉了各个反调试点后，可以进行注入，hook这些函数，从而过掉反调试，会省去大量无畏的时间。至此反调试全部去掉，后边 就没有反调试了，进程开始原始dex的解密加载操作。 第二  dex解密、加载      1 、调试过程中，通过查看proc/self/maps中可以看出，反调试全部在libjiagu.so映射的段中，Dex的解密加载在debug_xxx段中，将这款内存整个dump下来，可           以 发现为elf文件，Elf头被抹掉，与section相关的信息被修改为无效的或抹掉，防止静态分析，使用ThomasKing大神的so修复工具，IDA就能正常打开，           静态分析了。      2、fopen(“/proc/self/maps”);进行匹配查找：                           /dev/ashmem/dalvik-classes.dex                                 apk@classes.dex                                   .odex                    分割出内存基地址，判断头是否为”dey”;                    根据pDexHeader->dataSize+pDexHeader->dataSize找到qh开头的内存地址，         0x2DF为数据块的长度，其中存储了，加固app的相关信息，包括，           包名，Application、activity等和自身加载的一些信息。                         解密后的文件                2、  解密dex数据                                         loc_EDF4()                     {                                       BLsub_433E0{0x433FA j_j_tl_mmap -->分配dex空间， 长度 0x3274}                                 BLX  R12; --> //解密dex数据到前面分配的空间中//偏移0xEE14                                      {                                                                         blxsub_36A88()                          ----------->0x353A4                                                {                                                                                                loc_36ADA()                                            {                                                                                                             sub_365A4()                                                       {                                                                                                                               sub_358F0()                                                                          {                                                                                       loc_36156解密操作                                                                                                                                                       }                                                                                                                      }                                                                                                     }                                                                                   }                                                               }                             此时的dex头，0x70个字节还是加密的                            sub_46F6C（）                            {                                      //解密dex头，0x70个字节，                             }                     ------------------------------------------------至此dex完全解密到内存中-------------------------------------------                                                接下来自己构建，构建DexFile结构 进行系统版本属性的判断                   getSystemContext(); getPackageInfo(); getPackageInfo(包名)   RegisterNatives(DexFile_jcl,);                 {                               {"getClassNameList","(I)[Ljava/lang/String;",0xD791}RegisterNatives(StubApp2379654022);                               {"interface9","()Ljava/lang/String;",0x73921d79},                                {"getAppkey","()Ljava/lang/String;",0x73901ad1},                             {"mark","()V",,0x739185dd},                       {"interface6","(Ljava/lang/String;)Ljava/lang/String;",0x738fde05},                       {"interface7","(Landroid/app/Application;Landroid/content/Context;)Z",0x73901e99},            。。。。。。。。。。。。。。             } RegisterNatives("onCreate","(Landroid/os/Bundle;)V",0x0000BD1D);可见onCreate可定是注册为native函数的，在so的偏移0x0000BD1D处，可以动态调试跟   进去看看                在so偏移0xA9B8处为解释执行switch 开始的地方，猜测应该是逐条指令进行解释执行的               附件会上传脱壳过程中用到的app和记录的文档，dump的so和dex，供大家学习，相互交流，共同学习。

8.png (14.95 KB, 下载次数: 41)

1.png (15.21 KB, 下载次数: 39)