工具与环境

Xposed

IDA 6.8

JEB 2.2.5

Fiddler2

010Editor

NEXUS 5  Android 4.4

好久不玩逆向怕调试器生锈,拿出来磨磨！

高手莫要见笑，仅供小菜玩乐,有不对或不足的地方还请多多指教，不胜感激!

0x00： 程序大概情况分析

在我们拿到一个APP准备破解时一般得安装运行，程序运行后须要注册用户，随便注册一个用户登录，以下是APP须要购买vip才能使用的大概情况。

通过简单的查看可以知道是要通过网络支付后才能使用VIP，可以使用Fiddler进行抓包分析，但是请求体与返回值都是加密了的，目前还看不懂。

用JEB反编译app发现被加固了。

通过上面简单的分析后，该款应用为了防止被破解，主要做了以下几点防护。

利用第三方加固将app加固，网络验证是否为VIP权限。

通过第一部分的介绍，发现软件被加固了，接下来就是要脱掉壳才能更好地分析下去，挂上IDA在JNI_Onload下断点，反调试主要有，获取rtld_db_dlactivity判断是否为空，过反调试将获取到的内容清零就成了、time时间比较，将返回值清零，过/proc/self/status反调试将open函数返回0，过/proc/net/tcp也是将open函数返回0,文件监控不用管，还有一处比较隐藏的反调试raise，直接将函数改成返回，代码如下。

以上就是过掉所有主要的反调试了!

过掉反调试后在Case 29 与case33下好断点，代码如下：

下好断点后一直F9会发现主是逻辑就是获取解压函数(uncompressc)解压第二个so数据，解压后就是解密第二个SO了。接下来就是在内存中加载第二个SO并获取JNI_OnLoad函数。

获取到第二个SO的JNI_OnLoad函数地址后走到Case 33处跳到第二个SO的JNI_OnLoad去执行了，到此第一个SO的主要工作就基本完成了。

第二个SO的JNI_OnLoad主要工作就是注册壳本身的 Native函数与被Native的onCreate函数。

下面是我通过hook注册函数打印出来的对应类的Native函数,在后面SO劫持会有说.

接下来就是解密原始DEX了，解密逻辑如下:

这时就可以将DEX数据dump出来，其实后面每个onCreate中也会出现明文的DEX。

将dump出来的dex通过JDE反编译后发现很多Activity中的onCreate函数变成了Native了，从上面打印的类与对应函数可以看得出。

在上面分析到注册Native函数时就对onCreate函数下好了断点，直接F9来到onCreate断下。

F8一直单步走到定位指令的地方。

比如 下面是dex中OnCreate的指令，

读取上面的指令并解密。

解密后判断指令类型，获取执行须要的数据，每一种操作码（OPCode）都对应有一个处理逻辑（是一段代码，但不一定是函数），然后跳转到对应的处理逻辑去处理它，简单说一个正常没加壳的指令格式。

71 20  06 00  02 00  invoke-static {v2, v0}, int aurora.view.AuroraTest.Test2(int, java.lang.String)

71操作码

2  参数个数

0006 method idx

02参数V2

00参数 V0

对应Android官方指令表

但是加壳后的指令被变成了自己定义的了，我第一次想法是想通过分析加壳前与加壳后指令对应关系，只要找到足够多的指令就能将其还原，我简单加了两个apk测试，从第一个中找到了如下的指令对应关系。

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！