这篇文章是记录本人在学习Legu脱壳的心得,分析的样本是Legu libshella-2.10.so的版本。
本文分为几个部分:
修复So文件
第一次解密
第二次解密
解密Dex
Dalvik下加载Dex原理分析
Art下加载Dex原理分析
Dalvik下脱壳机编写
Art下脱壳机编写
修复So文件
Legu的核心加固代码都是在libshella-x.so里面,
我们用IDA打开libshella-2.10.1.so,意料之中的是,IDA打开什么也看不到。
在这里我用ThomasKing的ELF修复工具试着修复一下,修复之后已经可以看到很多函数了
但是修复后的So文件在IDA还是看不到init_array段,JNI_OnLoad函数也是加密状态。
由于So加载完之后会调用init_array函数,我们从Android源码入手来获取init_array的地址,在Android源码 linker.cpp的代码中有这么一段代码就是来调用init和init_aray函数的
CallFunction("DT_INIT", init_func);
CallArray("DT_INIT_ARRAY", init_array, init_array_count, false);
将手机中的linker拖入ida,找到DT_INIT_ARRAY字符串,可以获取调用CallArray的地址,在我的linker中,0x295E处就是调用init段的地址
我用修复后的So文件替换掉原始的Libshela-2.10.1.so文件后,App还可以成功运行,在这里就直接用修复后的So来动态调试
第一次解密
在init_array的函数中,首先会解密出JNI_OnLoad和反调试代码等等
解密是一个while循环,会从libshella.so 0x2000处开始解密,到0x3954处结束解密,解密完成之后,就只是创建了一个反调试线程,检测到反调试就执行raise(9),最简单的方法可以将call raise函数的代码nop掉
我没有关注init_array的解密算法是什么样的,当它解密完成之后,我将0x2000-0x3954偏移处的代码dump出来了,然后替换掉上面修复后的libshella_fix.so对应的字节,这样生成的So就包含解密后的Jni_OnLoad函数了![]()
第二次解密
咋一看,很奇怪的是在JNI_OnLoad函数中,还会自身再调用JNI_OnLoad函数,关键地方在于sub_1968()函数,
这个函数比较庞大,我分析了半天,没分析处到底是怎么解密的,但是这里并不影响后面的分析,
当这个函数执行完之后,通过dlsym 获取JNI_OnLoad函数的地址已经不是开始的JNI_OnLoad函数地址,我们这里成为new_JNI_Onload,而是处于动态分配的debug内存区域,其实这些debug内存区域的代码就是前面sub_1968()函数解密出来的
为了方便分析,我将libshella.so debug区域以及libc.so libdvm.so进行了内存快照拍摄![]()
我们用上面内存快照拍摄的生成的idb来分析new_JNI_OnLoad函数,在new_OnLoad函数中,看到了久违的registerNative注册操作,注册了Java层的load,runCreate等native函数
解密Dex![]()
在Java层的attachBaseContext函数中,首先执行的是native层的load函数,
在load函数中,首先会判断当前是dalvik还是art虚拟机,然后执行对应的加载Dex方法
在解密真正的dex之前,首先是获取解密前dex的存储位置,很简单的是,解密前的Dex存储地址=内存odex地址+DexHeade->dataOff+DexHeade->dataSize
获取到解密前dex的内存地址,就会执行decrypt函数对dex进行解密,手动脱壳的话,在这里就可以dump处真正的dex了![]()
Dalvik下加载Dex
在我的那篇阿里早期加固代码还原的帖子中,在Dalvik下的Dex加载方式是通过Dalvik_dalvik_system_DexFile_openDexFile_bytearray这个方式进行内存加载的,但是Legu在这里使用了一种更加高级的方法
首先Legu会通过loadDex函数加载mix.dex,从而得到一个表示mix.dex的mCookie对象
然后Legu会构造一个0x34字节的结构体DexHeaderBak,用来保存真正Dex的DexHeader信息
然后用mmap分配一段内存mmap_buffer,在其中填充一些真正Dex的信息,我画了一张图描述mmap_bufffer的内存结构
在Android4.4中,mCookie对象是指向DexOrJar结构的指针,![]()
struct DexOrJar {
char* fileName;
bool isDex;
bool okayToFree;
RawDexFile* pRawDexFile;
JarFile* pJarFile;
u1* pDexMemory; // malloc()ed memory, if any
};
struct RawDexFile {
char* cacheFileName;
DvmDex* pDvmDex;
};
Legu会通过mixdex_cookie获取pRawDexFile指针,再来获取pDvmDex指针,
最后将pDvmDex指向的内容全部替换为mmap_buffer结构体中的内容,这样mix.dex的mCookie对象已经表示为真正的Dex,而不是原本的mix.dex了,关于Legu为什么知道这么做,可能要分析Dalvik_dalvik_system_DexFile_openDexFile_bytearray这个函数的原理了。
![]()
Dalvik下Dex的加载大部分都完成了,后面Legu加载的方法其实也就是MultiDex的多Dex加载方法,这里不做分析。
Art(Android 6.0)下加载Dex分析
Android4.4下有Dalvik_dalvik_system_DexFile_openDexFile_bytearray这个函数加载Dex,但是Android N以上就没有了这个函数,
Legu在Art下会hook几个系统函数,并且获取libart.so中的art::dexFile::OpenFile函数的地址
让我开始很疑惑的是,Legu用OpenFile函数打开内存中的oat文件,并没有任何加载dex的操作
我分析了下Android 6.0下的OpenFile函数
OpenFile首先会call fstat函数获取location的大小,但是此时执行的却是hook后的fstat,Legu会替换真正的location的大小,而是返回真正的Dex大小,
然后根据前面的大小调用MapFile函数,MapFile最终调用了mmap函数,此时执行的还是hook后的mmap,
fake_mmap代码如下,首先会解密处真正的dex内容,然后用真正的Dex地址替换mmap返回值
OpenFile进行了mmap操作后,会进行OpenMemory加载Dex,经过上面的hook,表面上是打开base.odex oat文件,实际上OpenMemory真正的Dex文件,因此我们可以Hook OpenMemory达到dump dex的目的,所以可以看出Android Art下使用OpenMemory函数来加载dex文件。
Dalvik下脱壳机编写
根据上面的分析,在Dalivk下可以很容易地获取到真正Dex的内存位置:真正Dex存储地址=内存odex地址+DexHeade->dataOff+DexHeade->dataSize
App通过运行之后,注入后虽然可以Dump Dex,但是dump 的Dex跟原始的字节有几个字节不同,导致重打包运行出错,Legu在加载的时候是真正的Dex文件,但是脱离Legu代码运行起来后发现有几个字节变了,刚开始老以为是Legu对方法字节码做了处理,后来调试发现是Dalik自己改变的,字节码的变化不知道是不是Dalvik对字节码进行优化导致的。
Art下Dump 得到的Dex是完成正确的,推荐大家在Art下进行Dump Dex
void DumpDex_kitkat(char* pkgName)
{
int pid=getpid();
printf("pid:%d\n",pid);
char filename[100]={0};
char dumpfilepath[256]={0};
char* s;
unsigned int startAddr=NULL;
unsigned int endAddr=NULL;
unsigned int mainDexAddr;
char* oatPath[256]={0};
errno=0;
sprintf(dumpfilepath,"/data/data/%s/dump.dex",pkgName);
sprintf(filename,"/proc/%d/maps",pid);
FILE *fp;
fp = fopen(filename, "r");
if(fp!=NULL)
{
char line [2048];
while (fgets(line, sizeof(line), fp ) != NULL ) /* read a line */
{
if (strstr(line, pkgName) != NULL)
{
if (strstr(line, "classes.dex") != NULL)
{
LOGI("dvm-found odex address");
s = strchr(line, '-');
if (s == NULL)
LOGI(" Error: string NULL");
*s++ = '\0';
//strtoul:将字符串转化成无符号整型
startAddr = (void *)strtoul(line, NULL, 16);
endAddr = (void *)strtoul(s, NULL, 16);
LOGI(" dvm classes.odex addr %x-%x", startAddr,endAddr);
break;
}
}
}
fclose ( fp);
}
else
{
LOGI("fopen maps failed");
return;
}
if(startAddr==NULL || endAddr==NULL)
{
LOGI("found odex or oat file failed");
return;
}
mainDexAddr=startAddr+0x28;
LOGI("dexAddr:%s",(unsigned char*)mainDexAddr);
int magic=*(unsigned int*)mainDexAddr;
if(magic!=0x0A786564)
{
LOGI("not find main Dex");
return ;
}
unsigned int OrgDexOffset=getOrgDexOffset(mainDexAddr);
LOGI("OrgDexOffset:%d",OrgDexOffset);
unsigned int realDexAddr=mainDexAddr+OrgDexOffset;
magic=*(unsigned int*)realDexAddr;
if(magic!=0x0A786564)
{
LOGI("not find real Dex");
return ;
}
unsigned int dexSize=*(unsigned int*)(realDexAddr+0x20);
LOGI("dexSize:%d",dexSize);
void* buffer=malloc(dexSize);
if(buffer==0)
{
LOGI("malloc dexsize buffer failed");
return;
}
memcpy(buffer,(void*)realDexAddr,dexSize);
FILE* fd_dump=fopen(dumpfilepath,"wb+");
if(fd_dump==NULL)
{
LOGI("fopen dumpfile error:%s",strerror(errno));
return;
}
fwrite(buffer,dexSize,1,fd_dump);
free(buffer);
fflush(fd_dump);
fclsoe(fd_dump);
}
Art下脱壳机编写
我这里是针对Android 6.0下hook OpenMemory函数,在5.1下OpenMemory函数可能参数有所改变要另外做处理
注入zygote Hook OpenMemory函数dump dex
uint32_t new_art_dexFile_openMemory(void* DexFile_thiz,char* base,int size,void* location,
void* location_checksum,void* mem_map,void* oat_dex_file,void* error_meessage )
{
if(*((uint32_t*)base)==0x0A786564)
{
int pid=getpid();
const char* proc_name=get_process_name(pid);
if(strstr(proc_name,g_szTargetName))
{
LOGI("openMemory found target dex");
char szDumpPath[256]={0};
sprintf(szDumpPath,"/data/data/%s/dump_marsha_%x.dex",g_szTargetName,size);
FILE* fd_dump=fopen(szDumpPath,"wb+");
if(fd_dump==NULL)
{
LOGI("fopen dumpfile error:%s",strerror(errno));
return;
}
fwrite(base,size,1,fd_dump);
fflush(fd_dump);
fclose(fd_dump);
LOGI("dex file save at %s size:%x",szDumpPath,size);
}
return old_openMemory(DexFile_thiz,base,size,location,location_checksum,mem_map,oat_dex_file,error_meessage);
}
else
{
return old_openMemory(DexFile_thiz,base,size,location,location_checksum,mem_map,oat_dex_file,error_meessage);
}
}
最后测试发现libshella 2.7-2.10版本的Dex都可以成功Dump出来
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开
发者可享99元/年,续费同价!
