吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 48489|回复: 142
上一主题 下一主题
收起左侧

[Android 原创] 《教我兄弟学Android逆向08 IDA爆破签名验证》

    [复制链接]
跳转到指定楼层
楼主
会飞的丑小鸭 发表于 2018-4-30 05:29 回帖奖励
本帖最后由 会飞的丑小鸭 于 2018-5-22 17:02 编辑

上一篇 教我兄弟学Android逆向07 IDA破解第一个so》我带你下载了逆向神器IDA,并用IDA修改了我们第6课写的一个Demo 学完上节课的课程有点同学反映说用进制修改器修改so会好些 比如说010EDitor 不可否认的是进制修改器确实好用 但是上节课的目的是让你接触到IDA这个工具  关于010EDitor后面的课程会有讲到。

对于apk的签名我想你一定不陌生  apk如果被反编译 那么原有的签名将不会保留 如果你要想对反编译后的apk重新打包 那么就要对apk重新签名才能安装到手机上。
通过百度知道一个apk只有一个签名 而且这个签名是必须存在的 不然你这个apk就不能安装到手机上 。

要么学!要么不学!学和不学之间没有中间值 不学就放弃,学就要去认真的学!    --致选择
看了上面我的介绍 你有点不耐烦说大哥我要跟你学的是破解 你跟我讲什么签名 我不学了!

大兄弟你别着急,还记得李华吗?咱们儿时的小伙伴 ,有点事想请你帮忙。


下面介绍一下李华 李华是一个很有天赋 的Android程序员 他用了半年时间含辛茹苦,挑灯夜战,摧枯拉朽的编写了一款黑宝宝游戏 当然这几个词形容的并不恰当 但是李华确实为了这个apk的上线付出了很多努力  谁知游戏刚一上线就被破解了,生不生气?难不难过?
吸取了这次的教训 李华决定要反击 他通过书籍 了解到一个apk只有一个签名 于是他有了一个很大胆的想法:
如果别人要破解我的apk他一定会对我的apk进行重打包 但是重打包后的签名就不是我原来的签名了 我可以在代码中判断 如果签名不是我的签名 那么就让程序退出 这样不就达到防止别人破解的目的了,哈哈哈 太佩服我自己了。


他知道你最近在学习Android逆向 他想在游戏上线前让你测试一下他新加的签名验证是否能防住别人的破解。
下面是李华编写的黑宝宝apk
链接:https://pan.baidu.com/s/1h6pX2ARE3qtiKiYbcnJ-3g 密码:duv5

你拿到这个apk直接反编译重打包后安装到手机上,刚一运行程序就退出,你懵了,明明我什么都没改!接着看了一会反编译后的代码说:
他的签名验证是写在so里面的 但是我不会so的破解 大哥你教教我吧!

我说:好吧!

下面开始本节课的课程 请同学们认真听课。

一  打开导出表窗口(Exports)
1.用apktool解包apk后用IDA打开libJniTest.so
下面介绍两个窗口:
(1)Exports窗口是导出表(so中能让外部调用的函数)
(2)Imports窗口是导入表(so调用到外面的函数)

2.通过分析java层知道程序调用了一个native层函数check 既然知道了Exports窗口能列举出so中被外部调用的所有函数 又知道natve函数check是在java层被调用的
所以打开导出表窗口 搜索check  通过第6课知道 so中的函数都是java_包名类名_方法名格式的 所以这里check函数就被找到了


3.双击进去查看check方法 并按键盘f5将汇编转换成C语言 但是这里看到好多中文乱码 此时按住alt+A键打开ASCII string style窗口
然后点击set default encodings 在弹出框中选择8-bit的change 选择utf-8后点击ok回到c语言界面按f5刷新一下界面 乱码问题解决




4.乱码问题虽然解决了 但是下面的代码可读性很差 此时需要导入jni.h文件 点File->Load file->Parse C header file 找到jni.h所在位置 点打开 此时显示Compilation successful 导入成功
下载链接:https://pan.baidu.com/s/1n16NEx67zLHfGtVpU-CKAA 密码:7xg6



5.点击函数第一个参数int 右键Convert to struct* 在弹出的框中选择_JNIEnv点ok后可以看到有一些函数已经显示出来了


6.虽然现在下面已经显示出来一些函数 但是可读性还是差一点 为了让代码可读性更好 选中下面的函数 右键Force call type


7 其他的函数也都这样做 然后点住a1按住n键重命名为env 至于为什么这样做 这不是本节课的重点 以后的课程中会讲到的


8.以后的课程会有JNI的编写 所以这里就不带你分析了 由于本节课的重点是破解 点击回到汇编视图 然后按空格键转化为图形视图  通过图形视图可以对apk的整个逻辑一览无余 快捷键ctrl+鼠标滑轮可以缩小方法视图



9 通过图形视图很清晰的可以看出 如果签名正确程序通过BNE指令跳到左视图程序继续执行 否则跳到右视图退出程序
BNE: 数据跳转指令,标志寄存器中Z标志位不等于零时, 跳转到BNE后标签处
BEQ: 数据跳转指令,标志寄存器中Z标志位等于零时, 跳转到BEQ后标签处
这两条汇编指令相当于smali里面的if-eqz,if-nez是相反的



10.通过上面的分析 现在你知道怎么改了吧 没错就是把BNE改成BEQ 让程序在签名错误的情况下还能继续执行 鼠标选中BNE执行按住空格键 返回到汇编视图 通过上一课你知道修改so就是改16进制
通过鼠标点住BEQ 可以看到BEQ命令对应的16进制是D0 那么这里只要把BNE那行命令BNE对应的16进制改成D0是不是就可以把命令BNE换成BEQ了

11 鼠标点住BNE那行命令 View->Open subviews->Hex dump打开16进制编辑 把BNE



12回到汇编窗口可以看到BEN已经被改成了BEQ


13 保存so 然后重打包 用AndroidKiller给apk进行签名 安装到手机上程序正常运行 成功爆破签名验证  这里就不用我多说了吧 不会做的自己回去看上一节课

二 总结
本节课我带你认识了apk的签名验证 然后通过李华给你测试的apk又熟悉了IDA的使用 了解了IDA的导入和导出窗口接着又学习了两条汇编指令 总体来说从这节课你收货的东西还是挺多的 本节课看不懂的知识一定要自己去百度 不要有老师不讲自己就不学习了这种态度。

课堂作业
1.爆破李华Demo中的用户名和密码 要求输入任意用户名和密码 会提示登陆成功
2.看完《IDA Pro权威指南》6-12章



下一篇:教我兄弟学Android逆向09 IDA动态破解登陆验证



免费评分

参与人数 66威望 +1 吾爱币 +81 热心值 +65 收起 理由
Vegetable_Cat + 1 + 1 谢谢@Thanks!
莫失莫忘angle + 1 怎么知道那么多so文件那个是签名校验呢?
slmgr.vbs + 1 + 1 谢谢@Thanks!
liyun + 1 + 1 热心回复!
arking + 1 + 1 不错不错!
东哥在雨中 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yiwai2012 + 1 + 1 感觉最重要的环节 对签名验证的定位没有 可惜
salty_fish + 1 + 1 谢谢@Thanks!
Z不如归 + 1 + 1 谢谢@Thanks!
shock-c + 1 + 1 谢谢@Thanks!
多幸运遇见baby + 1 都闪退呢
52pojie61022109 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
陌上花开渡红尘 + 1 + 1 谢谢@Thanks!
玩世不攻 + 1 + 1 谢谢@Thanks!
rnwoshiwo + 1 + 1 感谢楼主大神的无私教学,受益良多,谢谢。希望后面有脱壳修复相关的内容
hellokett + 1 + 1 我有一个问题,那么多so文件怎么知道哪个是sign的呢
qtfreet00 + 1 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
mp652353553 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
海天一色001 + 1 + 1 谢谢@Thanks!
ParanoidGluTtoN + 1 + 1 我很赞同!
tztt3033 + 1 + 1 用心讨论,共获提升!
teri + 1 + 1 用心讨论,共获提升!
nbhonghong + 1 + 1 用心讨论,共获提升!
sushangyu + 1 + 1 技术含量极高,希望尽快到壳部分
秋末冬初 + 1 + 1 谢谢@Thanks!
ahmeijian + 1 + 1 谢谢@Thanks!
duanjia0912 + 1 + 1 我选择,,希望以后有脱壳方面的教程,谢谢
whlvd + 1 + 1 用心讨论,共获提升!
sunnylds7 + 1 + 1 热心回复!
qaz003 + 1 + 1 谢谢@Thanks!
飞天蜗牛 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
tail88 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
审判者压缩 + 1 + 1 用心讨论,共获提升!
12平方的幸福 + 1 + 1 谢谢@Thanks!
wangleishu + 1 + 1 用心讨论,共获提升!
x51zqq + 1 + 1 谢谢@Thanks!
yuanng + 1 + 1 用心讨论,共获提升!
zhh4827 + 1 + 1 热心回复!
积木方块K + 1 + 1 用心讨论,共获提升!
SYD缇缇丝 + 1 + 1 谢谢@Thanks!
龟仔龟龟 + 2 + 2 谢谢老师的教学,辛苦了,吾爱因你而精彩!
dazhige + 1 + 1 我很赞同!
gfjykldd + 1 + 1 谢谢@Thanks!
cr7890 + 1 + 1 谢谢@Thanks!
xmtpw + 1 + 1 热心回复!
szwein66 + 1 + 1 谢谢@Thanks!
天之哀伤 + 1 + 1 谢谢@Thanks!
Probious + 1 谢谢@Thanks!
小安xiaoan + 1 + 1 就喜欢这种放详细教程的
莫问刀 + 1 + 1 老大放出了具体教程,良心作品,希望老大继续更新
lookerJ + 1 + 1 热心回复!
xinkui + 1 + 1 谢谢@Thanks!
爱学习的小仙女 + 2 + 1 用心讨论,共获提升!
soyiC + 1 + 1 热心回复!
编草鞋的蚂蚱 + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
123-木头人 + 2 + 1 谢谢@Thanks!
lin_xop + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
卖铁而已 + 1 + 1 谢谢@Thanks!
wxue + 1 + 1 谢谢@Thanks!
pk8900 + 1 + 1 教程写的很详细,有时间好好学习一下,谢谢。
CoYou + 2 + 1 热心回复!
逍遥枷锁 + 2 + 1 谢谢@Thanks!
li6893 + 2 用心讨论,共获提升!
szybo + 1 热心回复!
邪恶博士 + 2 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 会飞的丑小鸭 发表于 2018-8-14 18:59 |楼主
shock-c 发表于 2018-8-14 18:06
楼主,关于arm汇编指令的16进制的值,我没查到是怎么得来的,问一下楼主,关于这些指令的十六进制该怎么算

这个有专门的工具的 或者自己在IDA里面搜索相同指令 查看对应的值
推荐
zhengyg 发表于 2018-6-15 15:17
把评论都看完了也没看到有人跟我一样问题

我把三个so的跳转都改掉了,安装成功,登录会闪退是啥情况呀,
[Asm] 纯文本查看 复制代码
06-15 15:14:26.368 1800-1800/? I/JNI_LOG: JNI获取到的签名是3082037f30820267a0030201020204661d0629300d06092a864886f70d01010b0500306f310b300906035504061302636e310b300906035504081302616b310b300906035504071302616b31163014060355040a130d616e64726f69646b696c6c657231163014060355040b130d616e64726f69646b696c6c6572311630140603550403130d616e64726f69646b696c6c65723020170d3134313232333036323734345a180f32303639303932353036323734345a306f310b300906035504061302636e310b300906035504081302616b310b300906035504071302616b31163014060355040a130d616e64726f69646b696c6c657231163014060355040b130d616e64726f69646b696c6c6572311630140603550403130d616e64726f69646b696c6c657230820122300d06092a864886f70d01010105000382010f003082010a02820101008496f35e201d240d56d2adbd87dfccb45282d6bc26e9d2eddf3a39595fdb06715596b435276fe29bb22be676e940dc0c79cab7f668827ba0135817b47db507bda3d309b97499fd3a507d8bbde2a2d36abf72da3221cdd8db871015241781a0d8df931968558fceba1ed87e1487b27b2047c0086700a780a6d6beb05a60e65c00103067d02f8507fcab6f735cfb2e4b7a6c0a8078dc7e674ff2619455c6db41097b09e36db48fefbf8bc1f7f85
06-15 15:14:26.368 2274-2282/? D/AudioPolicyManagerCustom: getNewOutputDevice() selected device 2
06-15 15:14:26.369 2274-2282/? D/APM_AudioPolicyManager: setOutputDevice() device 0002 delayMs 0
06-15 15:14:26.369 2274-2291/? D/audio_hw_primary: out_set_parameters: enter: usecase(1: low-latency-playback) kvpairs: routing=2
06-15 15:14:26.369 1800-1800/? A/libc: Fatal signal 4 (SIGILL), code 1, fault addr 0xee744f10 in tid 1800 (m.myapplication)
                                       
                                       [ 06-15 15:14:26.370   465:  465 W/         ]
                                       debuggerd: handling request: pid=1800 uid=10113 gid=10113 tid=1800
06-15 15:14:26.371 2274-2291/? D/audio_hw_primary: select_devices for use case (low-latency-playback)
06-15 15:14:26.371 2274-2291/? D/audio_hw_extn: audio_extn_set_anc_parameters: anc_enabled:0
06-15 15:14:26.371 2274-2291/? D/audio_hw_spkr_prot: audio_extn_fbsp_set_parameters: Speaker protection disabled
06-15 15:14:26.372 2274-2282/? D/APM_AudioPolicyManager: startOutput()--
06-15 15:14:26.464 1822-1822/? A/DEBUG: *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***
06-15 15:14:26.464 1822-1822/? A/DEBUG: Build fingerprint: 'OnePlus/OnePlus3/OnePlus3T:7.1.1/NMF26F/10122113:user/release-keys'
06-15 15:14:26.464 1822-1822/? A/DEBUG: Revision: '0'
06-15 15:14:26.465 1822-1822/? A/DEBUG: ABI: 'arm'
06-15 15:14:26.465 1822-1822/? A/DEBUG: pid: 1800, tid: 1800, name: m.myapplication  >>> demo2.jni.com.myapplication <<<
06-15 15:14:26.465 1822-1822/? A/DEBUG: signal 4 (SIGILL), code 1 (ILL_ILLOPC), fault addr 0xee744f10
06-15 15:14:26.465 1822-1822/? A/DEBUG:     r0 00000001  r1 00333766  r2 00316464  r3 66373300
06-15 15:14:26.465 1822-1822/? A/DEBUG:     r4 efda3230  r5 ee745fb2  r6 d0113000  r7 df2f9d88
06-15 15:14:26.465 1822-1822/? A/DEBUG:     r8 df2f9da0  r9 efd85400  sl 00000000  fp fff55204
06-15 15:14:26.465 1822-1822/? A/DEBUG:     ip 00000000  sp fff55148  lr ee744f11  pc ee744f10  cpsr 200f0030
06-15 15:14:26.466 1822-1822/? A/DEBUG: backtrace:
06-15 15:14:26.466 1822-1822/? A/DEBUG:     #00 pc 00000f10  /data/app/demo2.jni.com.myapplication-1/lib/arm/libJniTest.so (Java_demo2_jni_com_myapplication_myJNI_check+87)
06-15 15:14:26.466 1822-1822/? A/DEBUG:     #01 pc 002c10cd  /data/app/demo2.jni.com.myapplication-1/oat/arm/base.odex (offset 0x2a7000)

好像是签名那一块儿出问题了,但我看不懂,也不知道怎么解决,大神要是有空可以帮忙解释一下吗
4#
chen4321 发表于 2018-4-30 06:57 来自手机
5#
szybo 发表于 2018-4-30 06:59
谢谢分享
头像被屏蔽
6#
mylin 发表于 2018-4-30 07:19 来自手机
提示: 作者被禁止或删除 内容自动屏蔽
7#
rgqqfef 发表于 2018-4-30 07:58
感谢分享
8#
lyghost 发表于 2018-4-30 07:59
厉害了,厉害了
9#
123-木头人 发表于 2018-4-30 09:36 来自手机
好东西,谢谢分享
10#
iyim 发表于 2018-4-30 09:57
感谢大佬教程
11#
身体被淘空 发表于 2018-4-30 12:04 来自手机
大早上的很可以
12#
天之哀伤 发表于 2018-4-30 13:00
感谢分享教程
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2021-7-29 12:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表