一個section加密的apk的分析
題目描述:某企業反饋其員工專用手機上,被安裝了一個間諜軟體,該軟體會不定期自動連線一個疑似黑客控制的伺服器,伺服器的連線密碼內嵌在該軟體中。逆向分析此間諜軟體,獲取其伺服器的連線密碼。
首先安裝執行一下。
拖到jadx裡面,可以看到java層並沒有什麼核心功能,關鍵是匯入了一個net庫,用了裡面的upload函式。
解壓apk之後得到libnet.so,拖到IDA裡面提示First Section must be SHT_NULL,很有可能section被加密了。
在IDA裡面看到有個.init_proc和JNI_OnLoad,JNI_OnLoad的程式碼應該是被加密過的。
那麼這個時候我們就只能動態除錯了,動態除錯的步驟網上一搜一大堆就不再詳細寫了,這裡在linker下的斷點, BLX R4之後就進入了.init_proc。
直到執行完sub_2C5A之後發現libnet.so已經消失了,取而代之的是debug077,同時JNI_OnLoad也被解密了出來。
這裡需要匯入JNI,在IDA7.0以下的版本中通常是通過這篇文章中的方法匯入JNI的。在IDA7.0及以上的版本中有一種更簡單的方法。View->Open subviews->Type Libraries,按下Insert,選擇android_arm(IDA6.8裡面沒有這個庫所以不能用這個方法)。
開啟Structures,按下Insert,選擇Add standard structure,選擇_JNIEnv和JNINativeMethod。
把變數的型別改成JNIEnv*,Force call type,現在看起來舒服多了。
這裡在JNI_OnLoad中通過RegisterNatives註冊了java層需要呼叫的native方法,我們到0x7579411C看看。
IDA沒有識別出來這個結構體,我們手動新增一下。右鍵Structure,選擇JNINativeMethod,函式名為Upload,地址為0x7578E30C,這個函式就是我們在java層看見的函式了,到這個地址看看。
右鍵Create Function,但是提示debug077:7578FBD0: The function has undefined instruction/data at the specified address。
直接按C,全部轉成程式碼,就可以建立函式然後F5了。
這裡兩個異或非常可疑,寫個指令碼看看異或之後的值是多少。
#include <idc.idc>
static main()
{
auto start,end,ptr;
auto key;
start=0x75794004;
key=0;
for(ptr=start;ptr<=start+11;ptr++)
{
Message("%c",Byte(ptr)^key);
key++;
}
Message("\n");
key=0;
for(ptr=start+12;ptr<=start+20;ptr++)
{
Message("%c",Byte(ptr)^key);
key++;
}
}
解出來這兩個字串就應該是答案了。
總結一下:
1.一定還是要用真機除錯,bug少點,nexus4就兩三百塊錢。我等屌絲還是應該搞android,比學ios/macos便宜多了。
2.關於IDA匯入JNI
這個文章中已經說了有兩種方法,IDA7.0以下的版本需要手動匯入jni.h檔案,IDA7.0及以上的版本可以使用內建的庫。
3.關於程式的debuggable選項
這一點文章中沒提,如果程式的debuggable選項未開啟就直接jdb去attach的話是除錯不了的,會出現下面這樣的錯誤。
可以修改AndroidManifest.xml中的debuggable="true"然後簽名重打包;或者修改系統屬性將defalut.prop中ro.debuggable設定為1。這兩種方法操作起來其實都很麻煩而且容易遇到各種各樣的問題,所以我一般用的方法一個是riusksk的BDopener,一個是netsniffer優化的mprop。這兩個工具更方便。如果還是報錯的話可以開啟DDMS,點一下你要除錯的程式,點了之後會出現8700的埠和紅色的蟲子。這個時候再attach應該就沒問題了,成功attach上去蟲子會變成綠色。
這一點文章中也沒提, 其實也有幾種方法,一個是在System.loadLibrary之前加入waitForDebugger的程式碼;一個是用am命令的-D引數以debug模式啟動程式;一個是開啟手機的開發者選項之後在選擇除錯應用中選擇要除錯的應用,並且勾選等待偵錯程式選項。毫無疑問最後一種方法是最簡單的。
本文由看雪論壇 houjingyi 原創
轉載請註明來自看雪社群
相關文章
- android apk巢狀 從一個apk啟動另外一個apkAndroidAPK巢狀
- 如何將兩個APK合併成一個APKAPK
- apk加殼加密工具(apk protect) v1.0下載APK加密
- 一個可逆加密的例子 (轉)加密
- 一個java加密引起的問題Java加密
- APK反編譯後程式碼分析(一)APK編譯
- APK 檔案分析APK
- artice與section的區別
- Android逆向之旅---基於對so中的section加密技術實現so加固Android加密
- apkTool---一個簡單好用的apk反編譯工具APK編譯
- 一個簡單的愷撒加密程式 (轉)加密
- 對一種加密保護的思想的一點分析..... (1千字)加密
- 控制檔案(controlfile)中的各個section 代表什麼 ?
- 減少apk包大小的一種思路APK
- 高手、板主幫忙,一個加密的問題!!!加密
- 下拉重新整理和UITableView的section headerView衝突的原因分析與解決方案UIViewHeader
- Flutter的apk打包FlutterAPK
- IPTV系統一個後臺可以有多個apk介面嗎?APK
- 分享一個自動編譯,打包,簽名 android apk 的小指令碼編譯AndroidAPK指令碼
- 一個非常簡單的私有加密演算法加密演算法
- 一個C#封裝的加密解密類程式碼C#封裝加密解密
- Unity 編譯 Android 的原理解析和 apk 打包分析Unity編譯AndroidAPK
- vue的第一個commit分析VueMIT
- 一個JDO的成功案例分析 (轉)
- 建立一個加密表空間並對錶內資料進行加密的示例加密
- 轉載 控制檔案(controlfile)中的各個section 代表什麼 ?
- Android 安全之如何反編譯與加密apk包Android編譯加密APK
- Android安全之如何反編譯與加密apk包Android編譯加密APK
- 一個需求分析做的不夠的案例
- 【Android APK】解析SD卡上的APK檔案AndroidAPKSD卡
- Android Apk安裝過程分析AndroidAPK
- .apk的MIME型別APK型別
- 用wrap加密一個package異常的解決過程加密Package
- Apk 極限壓縮(說點不一樣的)APK
- APK體積優化的一些總結APK優化
- oracle全文索引之SECTION GROUP_6_PATH_SECTION_GROUPOracle索引
- oracle全文索引之SECTION GROUP_5_AUTO_SECTION_GROUPOracle索引
- oracle全文索引之SECTION GROUP_4_XML_SECTION_GROUPOracle索引XML