[原创]百度加固逆向分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]百度加固逆向分析

发表于: 2017-3-28 17:42 27388

[原创]百度加固逆向分析

scxc

2017-3-28 17:42

27388

最近一直在研究百度壳，发现网上这方面的资料非常少。所以我把自己做的发出来跟大家分享，共同学习进步。

下面开始：

一、init_array

我们发现init_array中存在多个函数地址，JNI_Onload为加密状态

动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。

之后遇到反调试崩溃退出。后来发现反调试检测了以下字段：

android_server

gdbserver

gdb

TracePid:

/proc/self/task/%s/status

isDebuggerConnected等。。

二、bypass

编写了一个loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

libbaiduprotect.so （406.46kb，275次下载）

收藏・59

免费・1

支持

打赏 + 1.00雪花

CCkicker

打赏次数 1

雪花 + 1.00

CCkicker

+1.00

2017/05/08

最新回复 (57) 1 2 3 ▶
PanzerT 雪币： 5303 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 2 关注私信	PanzerT 2 楼自己写loader 这想法不错 2017-3-28 17:55 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 3 楼大牛写的很好 2017-3-28 17:57 0
大魔头雪币： 208 活跃值： (1986) 能力值： ( LV6，RANK：80 ) 在线值：发帖 18 回帖 75 粉丝 70 关注私信	大魔头 4 楼这个自己写loader get到了有意思 2017-3-28 18:11 0
奔跑的阿狸雪币： 3499 活跃值： (4629) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 136 粉丝 25 关注私信	奔跑的阿狸 1 5 楼 mark 2017-3-28 18:22 0
Lucaks 雪币： 324 活跃值： (384) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 74 粉丝 0 关注私信	Lucaks 1 6 楼 mark 2017-3-28 18:47 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 7 楼 mark 2017-3-28 18:55 0
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 8 楼感谢分享！ 2017-3-28 19:03 0
MaYil 雪币： 7012 活跃值： (4222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 259 粉丝 2 关注私信	MaYil 9 楼厉害了我的哥, 666666 2017-3-28 19:28 0
bengou 雪币： 1039 活跃值： (355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	bengou 10 楼谢谢分享 2017-3-28 19:30 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 11 楼干货！谢谢分享 2017-3-28 20:49 0
yuletianxi 雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	yuletianxi 12 楼永哥威武！ 2017-3-28 21:07 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 13 楼膜拜大奔哥！ 2017-3-28 21:12 0
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 14 楼牛逼 2017-3-28 21:17 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 15 楼 soloader 厉害了 2017-3-28 21:50 0
irooky 雪币： 33 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	irooky 16 楼 666 2017-3-28 21:54 0
pansalily 雪币： 8 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	pansalily 17 楼及时雨哦 2017-3-28 23:51 0
bunnyrene 雪币： 158 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 18 楼支持 2017-3-29 09:03 0
LowRebSwrd 雪币： 6573 活跃值： (3893) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 190 粉丝 137 关注私信	LowRebSwrd 4 19 楼支持，我想问一下自己写的loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试，系统中的loader跟这个loader有什么不同吗？为什么这个loader就可以bypass呢 2017-3-29 09:37 0
Youngs 雪币： 461 活跃值： (319) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 63 粉丝 1 关注私信	Youngs 20 楼大奔哥！厉害了！ 2017-3-29 09:47 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 21 楼厉害了！我的哥！ 2017-3-29 09:55 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 22 楼 LowRebSwrd 支持，我想问一下自己写的loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试，系统中的loader跟这个loader有什么不同吗？为什么这个loader就可以bypass ... 我们在动态调试的时候一般都会用调试模式启动apk。最后jdb附加，isDebuggerConnect函数就是检测jdb调试的。我们自己写loader的话可以不用jdb调试附加。就bypass了。 2017-3-29 10:01 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 23 楼有意思！想法不错！ 2017-3-29 10:38 0
lxcoder 雪币： 2122 活跃值： (3854) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 52 粉丝 45 关注私信	lxcoder 2 24 楼谢谢分享！ 2017-3-29 11:15 0
siotb 雪币： 177 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 1 关注私信	siotb 25 楼干货 2017-3-29 12:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

scxc

发帖

回帖

215

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (57) 1 2 3 ▶
PanzerT 雪币： 5303 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 2 关注私信	PanzerT 2 楼自己写loader 这想法不错 2017-3-28 17:55 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 3 楼大牛写的很好 2017-3-28 17:57 0
大魔头雪币： 208 活跃值： (1986) 能力值： ( LV6，RANK：80 ) 在线值：发帖 18 回帖 75 粉丝 70 关注私信	大魔头 4 楼这个自己写loader get到了有意思 2017-3-28 18:11 0
奔跑的阿狸雪币： 3499 活跃值： (4629) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 136 粉丝 25 关注私信	奔跑的阿狸 1 5 楼 mark 2017-3-28 18:22 0
Lucaks 雪币： 324 活跃值： (384) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 74 粉丝 0 关注私信	Lucaks 1 6 楼 mark 2017-3-28 18:47 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 7 楼 mark 2017-3-28 18:55 0
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 8 楼感谢分享！ 2017-3-28 19:03 0
MaYil 雪币： 7012 活跃值： (4222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 259 粉丝 2 关注私信	MaYil 9 楼厉害了我的哥, 666666 2017-3-28 19:28 0
bengou 雪币： 1039 活跃值： (355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	bengou 10 楼谢谢分享 2017-3-28 19:30 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 11 楼干货！谢谢分享 2017-3-28 20:49 0
yuletianxi 雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	yuletianxi 12 楼永哥威武！ 2017-3-28 21:07 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 13 楼膜拜大奔哥！ 2017-3-28 21:12 0
ddddddfx 雪币： 12 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ddddddfx 14 楼牛逼 2017-3-28 21:17 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 15 楼 soloader 厉害了 2017-3-28 21:50 0
irooky 雪币： 33 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	irooky 16 楼 666 2017-3-28 21:54 0
pansalily 雪币： 8 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	pansalily 17 楼及时雨哦 2017-3-28 23:51 0
bunnyrene 雪币： 158 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 18 楼支持 2017-3-29 09:03 0
LowRebSwrd 雪币： 6573 活跃值： (3893) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 190 粉丝 137 关注私信	LowRebSwrd 4 19 楼支持，我想问一下自己写的loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试，系统中的loader跟这个loader有什么不同吗？为什么这个loader就可以bypass呢 2017-3-29 09:37 0
Youngs 雪币： 461 活跃值： (319) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 63 粉丝 1 关注私信	Youngs 20 楼大奔哥！厉害了！ 2017-3-29 09:47 0
lialong 雪币： 2096 活跃值： (1872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	lialong 21 楼厉害了！我的哥！ 2017-3-29 09:55 0
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 22 楼 LowRebSwrd 支持，我想问一下自己写的loader程序调用该so中的JNI_Onload函数bypass壳代码和反调试，系统中的loader跟这个loader有什么不同吗？为什么这个loader就可以bypass ... 我们在动态调试的时候一般都会用调试模式启动apk。最后jdb附加，isDebuggerConnect函数就是检测jdb调试的。我们自己写loader的话可以不用jdb调试附加。就bypass了。 2017-3-29 10:01 0
wingsbupt 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	wingsbupt 23 楼有意思！想法不错！ 2017-3-29 10:38 0
lxcoder 雪币： 2122 活跃值： (3854) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 52 粉丝 45 关注私信	lxcoder 2 24 楼谢谢分享！ 2017-3-29 11:15 0
siotb 雪币： 177 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 1 关注私信	siotb 25 楼干货 2017-3-29 12:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复