首页
社区
课程
招聘
[原创]某Android DEX vmp加固逆向分析
发表于: 2017-9-17 12:18 24738

[原创]某Android DEX vmp加固逆向分析

2017-9-17 12:18
24738

最近无意中看到某家厂商的免费Android DEX 虚拟机壳,一时兴起,就上传了一个简单样本加固之后进行分析。本文只是对该DEX虚拟机的执行过程进行了简单分析,并没有提供对其进行修复的方案,原因当然是本人也不会咯。

测试原样本和加固样本经过jeb反编译,对比如下图所示

                                       未进行加固  


                                        进行加固之后反编译效果

可以看到加固之后部分函数已经成了native 了,抱着侥幸的心理,心想免费版本会不会是个假的vmp加固。重新重构还原DEX之后,发现效果还是如上图所示。看来vmp已经成了加固厂商的最低标准了。下面就开始分析了,lib目录下面有个名称为libx3g.so的文件。拖入IDA,效果如下图所示,发现并不能正常反编译,看来是做处理了。那就试着dump+修复这个so了。


 2. 修复so。用010解析dump下来的so文件。 

    

   

首先将原apk的libx3g.so 文件的Dynamic Segment中的data部分拷贝到dump下来的so对应位置。 然后将第二个Loadable Segement 的p_offset 值等于p_vaddr,并且计算第二个Loadable Segement 的p_vaddr+p_memsz,最后将其结果赋给第一个Loadable Segement的p_filesz和p_memsz.最终的修复的so文件如下:


 此时IDA就可以正常打开so文件了。如下图所示,看来免费版本连动态注册都省了,很容易一眼看出被虚拟执行的onCreate函数。该函数只是简单混淆了下,导致一些函数的参数伪 C不是很清楚。但是总体来说,还是比较好分析的。下面根据未加固的原包与加固之后的指令进行对比,看下该虚拟机是如何执行的。

  下面以onCreate函数为例。第一张图为未进行加固之后的反编译效果。第二张图为加固之后native层该函数的伪C代码。

   

  本来以为该vmp加固应该也会在so中一条一条的读加密替换之后的smali指令,然后逐句解释执行。   But 不是啊,它直接就翻译了。直接通过嵌套的if 把指令给翻执行            

  了。。。。。。。。。。。。   不知道还有没有其它哪家加固厂商也是这样做的。

  还是对比下几条指令,看下它的执行过程。 


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  ExiaHan   +1.00 2017/09/20
最新回复 (31)
雪    币: 48
活跃值: (63)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
2
顶象?666
2017-9-17 13:21
0
雪    币: 6911
活跃值: (9069)
能力值: ( LV17,RANK:797 )
在线值:
发帖
回帖
粉丝
3
学习了!!!!!
2017-9-17 15:39
0
雪    币: 43
活跃值: (170)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
顶象的,666
2017-9-17 16:04
0
雪    币: 2907
活跃值: (1301)
能力值: ( LV12,RANK:215 )
在线值:
发帖
回帖
粉丝
5
顶一下。楼主是之前写Xdex的作者。
2017-9-17 20:04
0
雪    币: 48
活跃值: (61)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
必须支持我大sherry
2017-9-18 00:17
0
雪    币: 0
活跃值: (878)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
灵儿强啊。膜拜
2017-9-18 00:37
0
雪    币: 72
活跃值: (324)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
8
强啊    灵儿
2017-9-18 10:03
0
雪    币: 1185
活跃值: (458)
能力值: ( LV13,RANK:360 )
在线值:
发帖
回帖
粉丝
9
强大  过来顶一下大M 
2017-9-18 11:34
0
雪    币: 4005
活跃值: (2193)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
顶一手,感谢分享
2017-9-18 12:52
0
雪    币: 573
活跃值: (1009)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
Mark
2017-9-18 13:57
0
雪    币: 73
活跃值: (74)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
膜拜  大佬
2017-9-18 16:18
0
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
大佬牛逼。但是,这个所谓的VMP,其实是做的java到c的自动翻译?和我理解的VMP通过自定义指令集来执行的效果不一样啊~
2017-9-18 18:07
0
雪    币: 98
活跃值: (364)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
14
RealityAbb 大佬牛逼。但是,这个所谓的VMP,其实是做的java到c的自动翻译?和我理解的VMP通过自定义指令集来执行的效果不一样啊~
两种都有优劣吧。这种自动翻译能力还是挺佩服的啊
2017-9-18 18:12
0
雪    币: 0
活跃值: (878)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
15
程序头:
  Type           Offset           VirtAddr         PhysAddr          FileSiz      MemSiz     Flg    Align
  LOAD           0x000000 0x00000000  0x00000000 0x02fdc    0x02fdc    R E    0x1000
  LOAD           0x003e70  0x00006e70   0x00006e70  0x00194   0x001b4    RW    0x1000

dump的so修复那一块  我没弄明白  

”然后将第二个Loadable Segement 的p_offset 值等于p_vaddr,并且计算第二个Loadable Segement 的p_vaddr+p_memsz,最后将其结果赋给第一个Loadable Segement的p_filesz和p_memsz.“

为什么第二个Loadable Segement(RW_)的p_offset是等于p_vaddr的??

还有第一个Loadable Segement(R_X)的p_filesz为什么是等于第二个的p_vaddr+p_memsz??

越南媳妇快来答疑解惑~
2017-9-18 19:33
0
雪    币: 268
活跃值: (630)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
16
2017-9-19 11:55
0
雪    币: 916
活跃值: (3434)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
17
顶象之前好像是阿里出来的?
2017-9-21 12:13
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
不错!!!!!!
2017-9-21 19:17
0
雪    币: 206
活跃值: (108)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
19
厉害了
2017-9-21 21:31
0
雪    币: 139
活跃值: (235)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
终于确定之前看得一些so是vmp的了  [笑cry]
2017-9-22 15:07
0
雪    币: 3549
活跃值: (941)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
21
厉害厉害
2017-10-8 16:08
0
雪    币: 240
活跃值: (428)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
22
精彩  !!
2017-10-8 17:27
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
学习了
2017-10-8 17:30
0
雪    币: 312
活跃值: (123)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
24
2017-10-10 18:08
0
雪    币:
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
2017-10-14 15:53
0
游客
登录 | 注册 方可回帖
返回
//