網秦安全盾 原理分析
環境:
手機: 中興 u887
系統 android2.3.5
偵錯程式: IDA pro 6.5
一:加固前後對比
加固前 classes.dex 大小如下:
加固後 classes.dex 大小如下:
那原來的 classes.dex 去那兒了呢?我們再來對比下資源目錄下都多了些什麼?
加固前的:
加固後的:
Lib 目錄:
加固後:
比較發現多了些檔案,具體這些檔案有什麼用請看下面分析。
二:java 層概述
1.通過反編譯看,從 AndroidManifest.xml 檔案中的 application 項可以看出殼的入口為:
2.簡單分析 com.nqshield.NqApplication 類都做了些什麼?
.不能反編譯成 java 程式碼,直接看 smali 程式碼吧。
在 NqApplication 類 method protected attachBaseContext(Landroid/content/Context;)V
中都分別呼叫了這些函式:
3..invoke-static{p0},Lcom/nqshield/Common;->loadXShellLib(Landroid/content/Cont
ext)V
從名字可以看出是載入 so 庫,並註冊 JNI 函式。
通過分析 JNI 方法註冊到 Dalvik 虛擬機器的過程,可以得到 java 層 native 函式與 so 層函式
對應的關係為:
native nq10 -> b9df1ce797fd03603fd7137afff2957
native nq11 -> eb5993d402df42eac47e82555b7ae31
native nq12 -> fa3f3a501e8754e88bed48c128ef90
native nq13 -> abc020d3ee6fbc05ab1ed6b4da7252d
native nq14 -> e300588cc034bcbaa7d61
(*如有不清楚如何分析這個過程的可以參考學習羅昇陽 的文章)
4..invoke-static{p0},Lcom/nqshield/Common;->CopyBinaryFile(Landroid/content/Con
text;)V
該函式是將 assets 資料夾中的 DexToLoad.apk 與 nqdata 拷貝到/data/data+包名/.cache
目錄中,然後呼叫 nq10 函式,(該函式會在下面分析)。
5..invoke-static{p0},Lcom/nqshield/jniExport;->getDexClassLoader(Landroid/conte
nt/Context;)Ljava/lang/ClassLoader;
該函式通過呼叫 DEXClassLoader 完成對加密的/data/data+包名/.cache/DexToLoad.apk 的
動態載入,記憶體中解密 DexToLoad.apk 並組合 odex, 完成動態載入。 (詳細過程看 so 層分
析) 。
類似下面的樣子:
6.invoke-virtual{v0,p0,v1,v2},Lcom/nqshield/jniExport;->nq12(Landroid/content/C
ontext;Ljava/lang/ClassLoader;I)V
傳入 getDexClassLoader 返回值。
7.invoke-virtual{v0,v1,v2},Lcom/nqshield/jniExport;->nq13(Ljava/lang/String;I)V
so 層分析
8.最後在.method public onCreate()V 中呼叫
invoke-virtual {v0, v1, v2}, Lcom/nqshield/jniExport;->nq14(Ljava/lang/String;I)V
三:so 層分析:
1.通過 readelf -S libnqshield.so 檢視 so 資訊,發現 INIT_ARRAY 不為空,
用 IDA 開啟 so,G 到 INIT_ARRAY 中的地址去看看.
對應 so 函式名被混淆了,動態分析發現這些函式都是解密字串用的,根據傳進的數字解
密相應的字元。
下面是傳入要解密的字串。
110 代表解密後的字元為: nq10
115 代表解密後的字元為: (Ljava/lang/String;Ljava/lang/String;I)V
111 代表解密後的字元為:nq11
等等...以此類推
2.JNI_OnLoad 中都做了些什麼?
第一個函式 fork 一個子程式,並建立一個執行緒,執行緒函式如下所示
inotify 是一種檔案系統的變化通知機制,如檔案增加、刪除等事件可以立刻讓使用者態得知,
int wd = inotify_add_watch (fd, path, mask); 用於新增一個 watch
fd 是 inotify_init() 返回的檔案描述符, path 是被監視的目標的路徑名(即檔名或目
錄名), mask 是事件掩碼, 在標頭檔案 linux/inotify.h 中定義了每一位代表的事件。可以
使用同樣的方式來修改事件掩碼,即改變希望被通知的 inotify 事件。Wd 是 watch 描述
符。
在 arch-arm\usr\include\linux\ inotify.h 標頭檔案中定如下:
#define IN_OPEN 0x00000020
,根據執行緒函式可以看出它是監視/proc/pid/maps 的開啟事件.
(*不明白的可以點這裡 http://blog.csdn.net/myarrow/article/details/7096460)
我猜測這個執行緒的功能可能是做反注入用的。
2.解密字串
傳入數字 79 代表解密後的字元為: com/nqshield/jniExport
3.註冊 JNI 函式
對應關係
native nq10 -> b9df1ce797fd03603fd7137afff2957
native nq11 -> eb5993d402df42eac47e82555b7ae31
native nq12 -> fa3f3a501e8754e88bed48c128ef90
native nq13 -> abc020d3ee6fbc05ab1ed6b4da7252d
native nq14 -> e300588cc034bcbaa7d61
4.下面對這幾個函式進行分析
nq10 函式在 java 層 CopyBinaryFile 函式中被呼叫到,我們在 so 中對
b9df1ce797fd03603fd7137afff2957 函式下斷點,動態分析看它都做了些什麼?
函式裡面呼叫了 result = initEnv(a5, "DexToLoad.dex", "DexToLoad.apk", &s);
進入該函式分析,該函式對 libdvm.so 與 libnativehelper.so 中的操作檔案等一些函式進
行 hook 如下圖:
我 們 分 別 對 這 幾 個 hook 函式 (myopen,myread 等 ) 下 好 斷 點 , 當 java 層 調 用
getDexClassLoader 函式時會走到這些 hook 函式中,b9df1ce797fd03603fd7137afff2957
函式就分析完成了。
5.java 層的 CopyBinaryFile 函式執行完後就要執行 getDexClassLoader 函式了,該函式是
呼叫 DexClassesLoader 動態載入 DexToLoad.apk,繼續動態走,斷在 myopenh 函式中,該函式
會判斷是不是開啟 DexToLoad.apk 檔案,如果是就會建立一個 DexToLoad.apk.zip 檔案。
接著來到 myopen 函式中,判斷是否開啟 DexToLoad.apk,如果是會呼叫函式 access 判斷
/data/data/yiqi.bazi/.cache/DexToLoad.apk 是否存在,存在就開啟它並將其讀取到指定
記憶體,然後解密,如下圖:
6.組合生成 ODEX:
下會根據 ODEX 結構圖進行組合:
(*該圖來自 “ Android 軟體安全與逆向分析” 一書,如有對該結構不明白的地方可以
去閱讀這本書,書裡有詳細講解)。
首先使用 zlib 函式 inflateInit2_與 inflate 對上面解密出來的 DexToLoad.apk 資料從
classes.dex 標誌後進行解壓得到 dex 資料, 在 inflateEnd 處下斷 F9 執行, 如果要脫殼的
話,這個時候是最佳的 dump 時機,可得到完整的 Dex 資料。(組合完後會對 dex 做些手腳)接
下來會按照上圖 odex 結構圖進行組合,
在解壓出來的 dex 前寫入 ODEX 檔案頭如下圖所示:
開啟/data/dalvik-cache/mnt@asec@yiqi.bazi-1@pkg.apk@classes.dex 讀取依賴庫到 dex
後面,如下圖:
開啟/data/data/yiqi.bazi/.cache/nqdata 讀取輔助資料到依賴庫後面,如下圖:
組合完後就是 vm 載入過程了。
7. 接著 java 層呼叫 nq12 nq13 nq14 函式
反射呼叫 LoadedApk.mApplication, LoadedApk.mClassLoader,
ActivityThread.mInitialApplication,
ActivityThread.mAllApplications 等值,將其重新
指向目標 Application 和 ClassLoader。確保系統
稍後構造元件時能正確的載入到目標類。
三: 到此分析完成,最後,將控制權給目標 Application。
完。
樣本及文件下載
http://yunpan.cn/cA3U6hctfwfj3 (提取碼:9b1e)
相關文章
- 快快網路遊戲盾-雲安全防護中心遊戲
- 一文揭秘安芯網盾記憶體安全記憶體
- 網易易盾入選中國網路安全100強
- [原創]360網盾 廣告攔截模組崩潰分析
- 天銳綠盾為企業內網搭建安全城牆內網
- 安芯網盾受邀參加內蒙古自治區國家網路安全周
- 物聯網安全分析
- 高校網站安全分析網站
- 為物聯網程式碼安全而生 網易易盾公測IoT安全編譯器Maze編譯
- 網秦財報:2012年Q3網秦淨利潤30萬美元 同比降93% 【圖解】圖解
- 安芯網盾:硬核能力,築牢重保期間網路安全屏障
- 21家平臺與同盾科技達成合作 發起網際網路安全宣言
- 網易易盾推出政企網站安全方案 主打主動治理、防篡改網站
- YYDS!安芯網盾記憶體安全將成為HDR能力標配記憶體
- Swift 網路安全原理及實踐Swift
- Linux-網橋原理分析********************Linux
- 除了有網路安全法做護盾,還有安全公司欲借AI之風防禦網路攻擊AI
- 網易易盾CTO朱浩齊:內容安全已成為網際網路風控命門
- 《網路安全原理與實踐》一2.1安全區介紹
- 數盾科技加入,攜手龍蜥社群提升網路安全整體防護能力
- 網站安全公司講解資料安全風險分析網站
- 安芯網盾獲公安部感謝信,在網路安全專項行動中表現卓越
- 《Exploring in UE4》網路同步原理深入(下):原理分析
- 冰盾濾鏡註冊演算法分析演算法
- 網秦宣佈回購優先可轉換債券
- 網秦組織學習黨的十九大報告精神
- 網秦12月1日釋出第三財季財報
- 架構安全性設計、部分示例及原理分析架構
- 《網路安全原理與實踐》一1.8網路安全體系結構的部署
- 網易雲易盾三款產品入選2018網路安全全景圖
- 2020網安周 | 安芯網盾獲“2020中國網路安全特別創新獎”
- 網易雲易盾斬獲第二屆“凱通科技杯”網路安全技能大賽網際網路組冠軍
- 一體化智慧安全防禦 京東雲星盾安全加速正式釋出
- 安芯網盾入圍《嘶吼2022網路安全產業圖譜》多個細分領域產業
- 智慧時代的內容安全,易盾是如何落地的?
- 安全從記憶體保護開始,安芯網盾斬獲2020安全創客彙總冠軍記憶體
- 網秦釋出手機防毒4.0版:首創雲+端雙引擎防毒
- 飛流、秀色交易加速 網秦全面專注智慧汽車領域