「安卓逆向」360加固脱壳分析,手把手教你操作

HarmonyOS

  应很多粉丝说到的脱壳,现在就分享一个简单的脱壳图文教程,大家也可以先了解一下,对于有加固的软件都是需要先脱壳才能做逆向分析。

  那我们就先看一下这个加固是怎样脱壳的。

  首先直接看这个so库:

  拖入IDA静态看一下:发现看不到什么信息,原因很简单,因为被处理了;

  怎么办呢?通过010进行对so简单修改:

  拖入IDA,使用ELF.b进行识别:

  识别效果:

  头里面描述了有关节的信息:

  先修改节的偏移:

  这个三个:

  保存之后,然后继续拖入IDA:发现没报异常,可以识别一些东西:

  为什么这样就能成功呢?因为我们把节有关的信息去除之后,他开始解析段的信息;

  看导出函数列表,发现函数名称也是被处理过的,但是JNI_Load还是可以看到的:

  双击过来,还是可以看到一些信息的;

  ctrl+S ,来到这里,看一下:

  点击sub_1AD8:发现也没什么信息~

  直接F5,看JNI_Load的信息:

  修改一下参数:

  点进去看一下下面的那个函数也看不出来什么;

  回到汇编窗口:

  双击进去后:

  继续跟:

  过来后:

  发现是一个switch循环;

  F5一下:

  分支挺长的,看不出来啥;直接动态分析;

  这个函数的分析,同样的在open函数下断:

  F9之后,加载进来这个so:

  linker处下断:

  libdvm下断:

  F9后,linker处断下:

  F7进去,发现没什么;

  继续F9linker断下,然后F7:

  F7往下走,发现有个函数:

  进入后来到libdvm.so,与getenv有关;

  回来后,继续F7,这里有个函数:

  F7进去:往下跟:

  过来后:

  F7往下,这里有个函数,

  进去:F7往下,发现这里是一个循环:一直比较R2和R3的值;

  F4后F7往下走,来到了跳转表这里:

  继续F7往下,来到了case26分支:

  一路F7往下,这里有一个BLX函数:

  F7往下,同步R1寄存器;发现有关键字眼;

  再往下是一个循环,同时同步R3寄存器,是在解密字符串:

  再往下,又一个亦或循环:通过R2寄存器

  继续F7,

  继续F8往下:来到这里:

  继续F7往下;这里是一个循环,一直在读取,然后一直比较R0的值;

  如果这里BEQ相等的话,就会直接跳到这里:

  上面的是从linker到JNI_Load,说明在linker里面没有进行操作,所以,可以换一种,直接在libdvm哪里找到JNI_onload也行;

  重新使用一种方法,使用open函数,往上回溯;

  跳到open函数, 然后F2下断,然后F9运行,然后Ctrl+F7回溯:

  同步R0窗口,出现这个,说明在遍历tracepid,

  继续回溯:

  继续回溯:

  为什么之前又一次运行道这里程序就崩溃了?

  原因是程序此时R1寄存器的值:

  这个值什么意思?

  我们先把4A24转化成10进制:‭18980‬

  执行一个adb命令:这个就是当前as的进程;说明他当前已经检测到我们在调试该程序;

  所以我们需要把这个反调试干掉:

  也就是说,case26就是反调试的分支;

  改了之后继续往上回溯:

  继续回溯,此时来到这个位置;

  继续 往上回溯:

  此时R0和0进行比较,此时R0的值依然是as的进程号;

  如果不相等,就跳转到这里

  点进去,发现是kill:

  会来,往上p一下,是一个函数,

  进去:p一下:

  明显和这个就是反调试的逻辑,这个分支代码比较多;

  我们怎么修改呢,只需要让这个函数返回固定的值即可;

  修改代码之前,先把这里置零;

  同步一下反汇编窗口,点击前面的这里会显示下面对应的十六进制:

  这个是arm指令,

  执修改指令:第一条:

  选取后8位,F2进行修改:

  继续修改第二条:

  修改后效果:

  过掉反调试后,在mmap处下断:mmap尾部处也下一个断点;

  好,F9运行程序:使其在mmap处函数段下来;

  这里mmap如何查看呢?至二级F9运行到mmap函数尾部,然后F7进去下一步,就是不同的函数调用的地方、遇到libdvm.so的不用管,h直接F9继续在mmap处蹲下,只观察jiagu.so;

  注意在mmap处的操作:不能直接F9从头部执行尾部断下,要单步跟一下,即将进去的so也要单步跟一半,然后在F9;

  继续执行上面操作首先会在这里出现apk信息:

  继续操作,出现了这个:

  继续:下面R0窗口出现了dey036;

  继续操作,这里出现了与dex有关的信息:

  看他地址,我们来到他的区间:

  过来后,这几就是他解密后的dex

  这里是这个dex文件的大小:

  知道起始地址和大小后,使用脚本:

  dump可能需要时间;

  也就是说,出现相关dex文件的时候,如果没有出现太多信息,我们可以ctrl+s查看模块信息,一般他会把dex相关信息放到其他区域;

  一般会把解密后的dex放到内存里面,比如这个是放在debug里面:

  好,找到dump出来的文件;

  拖入jdax,这就是一些相关的代码;

  点看看一下相关的逻辑,发现都有,说明脱壳挺成功的;

标签: HarmonyOS