吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12957|回复: 27
收起左侧

[Android 原创] Android逆向——Android逆向进阶(1)

[复制链接]
BubblePig 发表于 2018-2-19 18:15

0x00 前言

有价之宝:戳这里
无价之宝:戳这里

说明

最近同步分析ELF文件格式分析。
本文在大佬教学后进行笔记整理以及个人体会进行一个记录。

ELF文件格式分析(1)

内容

1.so文件保护学习
2.自动吐出校验码
3.栈跟踪
4.adb简单调试

0x01 so文件学习分析。

准备好我们的demo

反编译

查看lib文件夹

这里写图片描述

我们找到了一个关键的so文件。这个so文件的含义就是壳的含义。

egis.so逻辑分析。

打开ida。

这里写图片描述

这里有一个知识点。

JNI_OnLoad 的执行优先级是高于其他java输出函数。所以这里so文件就会执行这个函数,双击进行跳转。

分析

JNI_OnLoad

当Android的VM(Virtual Machine)执行到C组件(即*so档)里的System.loadLibrary()函数时,
首先会去执行C组件里的JNI_OnLoad()函数。

 EXPORT JNI_OnLoad
LOAD:00001D28 JNI_OnLoad                              ; DATA XREF: LOAD:000003B4↑o
LOAD:00001D28
LOAD:00001D28 ; FUNCTION CHUNK AT LOAD:00001818 SIZE 00000018 BYTES
LOAD:00001D28
LOAD:00001D28                 PUSH            {R4-R7,LR}
LOAD:00001D2A                 SUB             SP, SP, #0x14
LOAD:00001D2C                 STR             R1, [SP,#0xC]
LOAD:00001D2E                 STR             R0, [SP,#8]
LOAD:00001D30                 BLX             getpid
LOAD:00001D34                 LDR             R1, =(aLibegisSo_0 - 0x1D3C)
LOAD:00001D36                 LDR             R4, =(off_5F50 - 0x1D42)
LOAD:00001D38                 ADD             R1, PC  ; "libegis.so"
LOAD:00001D3A                 BL              sub_15CC

在so文件里看到一个so的文件名。

 "libegis.so"

这个就是自己本生的so名称,也就是说这里是自己调用了自己。

按f5进行查看。

这里写图片描述

发现这里进行一个调用。

进行上下文检查,发现了关键字符串

这里写图片描述

那么这个so的逻辑就是自我检测。

但是有一个问题就是这个so文件没有和java层进行交互,如果和java层不进行交互的话,那么这个so就没有意义。

但是还有一个可能就是这个so和其他的so有一定的联系。

egis_security.so分析

我们接着打开 IDA进行egis_security这个so的分析

来看一下输出表。

这里写图片描述

这里就是java层的输出函数。

名称PayegisBarcode_decode,getZbarSoVersion

这里就是说这个so很有可能就是保护另外一个so文件的检验。

总结

那么就是说  egis.so 自身保护自己。然后通过egis_security和java层进行交互,并且保护so。

相当于egis_security做了一个中间量,并且对进行交互的so进行了一个交互。egis.so 则是通过间接交互,来实现它的功能。

0x02 自动吐出校验码

demo测试

这里写图片描述

反编译 分析

if-eqz v3, :cond_2

    .line 43
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u6ce8\u518c\u7801\u6b63\u786e"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

    goto :goto_0

    .line 45
    :cond_2
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u6ce8\u518c\u7801\u9519\u8bef"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

    goto :goto_0
.end method

这里我们找到了一个相关的地方。
其实这个是重新写的,我作死,就没了。
不想啰嗦了。

向上查看。

invoke-virtual {v1, v0}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z

这里发现是两个寄存器的值进行比较。

v1和v0

我们继续向上看,v1存的是什么东西。

invoke-virtual {v1}, Ljava/lang/String;->length()I

我们找到这样一句话。

这句话就是说v1.length.计算字符串的大小。

为什么要计算大小呢?

if-nez v3, :cond_1

    .line 38
    :cond_0
    iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;

    const-string v4, "\u8bf7\u8f93\u5165\u7528\u6237\u540d\u4e0e\u6ce8\u518c\u7801"

    invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v3

    invoke-virtual {v3}, Landroid/widget/Toast;->show()V

下面有判断说:如果是0的话就输出请输入XXX就是没有的意思,那么我们就知道v1寄存器里存的是我们输入的东西。

相对的v0,就是和我们输入比较的东西,也就是我们要输出的寄存器。

插入代码

 invoke-static {v0}, Lcom/android/killer/Log;->LogStr(Ljava/lang/String;)V

我们输出v0寄存器里的值就可以了。

测试

这里写图片描述

0x03栈跟踪

demo 测试

这里写图片描述

反编译分析

反编译之后找到这个位置。

.method private c()V
    .locals 2

    .prologue
    .line 27
    const-string v0, "who called me?"

    const/4 v1, 0x0

    invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v0

    invoke-virtual {v0}, Landroid/widget/Toast;->show()V

    .line 29
    return-void
.end method

这个的含义就是让你去判断是谁调用了c。

那么我们就要进行一个对栈进行打印了。

堆栈打印

 new-instance v0, Ljava/lang/Exception;

    const-string v1, "HAI-------print trace"

    invoke-direct {v0, v1}, Ljava/lang/Exception;-><init>(Ljava/lang/String;)V

    invoke-virtual {v0}, Ljava/lang/Exception;->printStackTrace()V

通过这四句来对堆栈进行一个打印。

回编译测试

这里写图片描述

这里输出结果就是 c,b,a。

但是栈有一个特点就是先进后出。

所以正确的顺序就是 a,b,c

所以很明显就是 a调用b,b调用c。

0x04 DDMS方法追踪

工具说明

夜神模拟器

first adb命令

首先进行连接adb

adb connect 127.0.0.1:62001

这里写图片描述

然后使用adb shell进行检测

这里写图片描述

这样就是连接成功了。

我们使用adb进行apk的安装

这里写图片描述

打开ddms。

这里写图片描述

second ddms调试

因为虚拟机有问题,所以这里使用真机进行测试。

真机打开软件。

首先建立过滤规则。

这里写图片描述

进行简单过滤设置。

这里写图片描述

选择进程,然后点击这个按钮

这里写图片描述

点击之后,运行 软件,单击按钮。然后停止,进行抓取。

这里写图片描述

在这里我们可以清楚的看到软件的运行过程。

onclick

然后 a

然后b

然后c

0x05 结束语

收获

1.知道了一种常见的保护逻辑。
2.基本的打印输出
3.知道了如何栈跟踪
4.ddms调试详细跟踪

以上

免费评分

参与人数 12吾爱币 +25 热心值 +11 收起 理由
瓦力伊娃 + 1 + 1 谢谢@Thanks!
qtfreet00 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
cn52pojie + 1 + 1 热心回复!
akria00 + 1 + 1 谢谢@Thanks!
yhxi1714 + 1 + 1 求工具
独行风云 + 2 + 1 谢谢@Thanks!
xwzj20170829 + 1 + 1 谢谢@Thanks!
jason94 + 1 + 1 谢谢@Thanks!
dwq308 + 1 + 1 我很赞同!
初亦泽 + 2 + 1 用心讨论,共获提升!
秋北极 + 1 + 1 谢谢@Thanks!
one486 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

yhxi1714 发表于 2018-4-4 21:48
问个问题:我这有个app用Android反编译后,什么都不动,直接编译回来报错,是什么问题?工具的问题?当前 Apktool 使用版本:Android Killer Default APKTOOL
正在编译 APK,请稍等...
>I: 使用 ShakaApktool 2.0.0-20150914
>I: 编译 smali 到 classes.dex...
>I: 正在编译资源...
>ndowTitle'.
>        at com.rover12421.shaka.a.b.g.a(Unknown Source)
>        at b.a.d.a.a(Unknown Source)
>        at b.a.a.b(Unknown Source)
>        at b.a.a.a(Unknown Source)
>        at b.a.a.e(Unknown Source)
>        at b.a.a.a(Unknown Source)
>        at b.b.a.b(Unknown Source)
>        at b.b.a.a(UndowTitle'.
>        at com.rover12421.shaka.a.b.g.a(Unknown Source)
>        at b.a.d.a.a(Unknown Source)
>        at b.a.a.b(Unknown Source)
>        at b.a.a.a(Unknown Source)
>        at b.a.a.e(Unknown Source)
>        at b.a.a.a(Unknown Source)
>        at b.b.a.b(Unknown Source)
>        at b.b.a.a(Unknown Source)
>        at com.rover12421.shaka.cli.Main.main(Unknown Source)
>Caused by: b.a.D: b.c.a: could not exec command: [C:\Users\yokanki\ShakaApktool\windows-x86\bin\aapt.exe, p, --forced-package-id, 127, --min-sdk-version, 16, --target-sdk-version, 21, --version-code, 20170929, --version-name, 2.3.0, -F, C:\Users\yokanki\AppData\Local\Temp\APKTOOL7344402794504074040.tmp, -0, resources.arsc, -0, assets/.appkey, -0, arsc, -I, C:\Users\yokanki\apktool\framework\1.apk, -S, H:\Android破解\AndroidKiller_v1.3.1\projects\caidao_20170929\Project\res, -M, H:\Android破解\AndroidKiller_v1.3.1\projects\caidao_20170929\Project\AndroidManifest.xml]
>        at b.a.d.a.a(Unknown Source)
>        at b.a.d.l.a(Unknown Source)
>        at org.c.b.b.c.a(Unknown Source)
>        ... 9 more
>Caused by: b.c.a: could not exec command: [C:\Users\yokanki\ShakaApktool\windows-x86\bin\aapt.exe, p, --forced-package-id, 127, --min-sdk-version, 16, --target-sdk-version, 21, --version-code, 20170929, --version-name, 2.3.0, -F, C:\Users\yokanki\AppData\Local\Temp\APKTOOL7344402794504074040.tmp, -0, resources.arsc, -0, assets/.appkey, -0, arsc, -I, C:\Users\yokanki\apktool\framework\1.apk, -S, H:\Android破解\AndroidKiller_v1.3.1\projects\caidao_20170929\Project\res, -M, H:\Android破解\AndroidKiller_v1.3.1\projects\caidao_20170929\Project\AndroidManifest.xml]
>        at b.e.i.a(Unknown Source)
>        ... 12 more
APK 编译失败,无法继续下一步签名!
 楼主| BubblePig 发表于 2018-2-21 16:09
yhxi1714 发表于 2018-2-21 10:48
大神,最后问一次哈(问多了怕你烦),你的工具方便共享一下不,新年快乐哇

工具没有整理过,百度或者爱盘里找就可以,大部分都有
729940557 发表于 2018-2-19 19:09
linuxprobe 发表于 2018-2-19 19:53
楼主是做什么工作的,截了这么多张图,都是在分析。
 楼主| BubblePig 发表于 2018-2-19 20:03
linuxprobe 发表于 2018-2-19 19:53
楼主是做什么工作的,截了这么多张图,都是在分析。

楼主也不知道自己是做什么的
绝美之城 发表于 2018-2-19 20:10
楼主新年快乐。
多幸运遇见baby 发表于 2018-2-19 20:34 来自手机
2018希望楼主陆续更新!!
七月十九 发表于 2018-2-20 01:21
就喜欢看这些越看越看不懂却能看完的文章
qq8945051 发表于 2018-2-20 10:35
支持楼主谢谢分享
他山之石可攻玉 发表于 2018-2-20 17:31
学习学习学习学习学习学习学习学习
610100 发表于 2018-2-21 10:44
膜拜一下楼主!

小白想问一下dex自校验的软件该怎么搞?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 09:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表