分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了，这篇笔记的主要目的是比较详细的分析下该vmp壳子的原理，数字壳子主要分为反调试，linker，虚拟机三部分。笔记结构如下：

反调试

linker部分：用来加载第二个so

虚拟机部分：解释执行保护的代码

因为懒得hook系统函数，每次过反调试就要手工更改寄存器的值，所以用IDAPython来模拟手工调试，下面是一些辅助函数，其中addBrk根据模块名和偏移地址下断点，fn_f7, fn_f8, fn_f9分别模拟f7, f8, f9.

反调试的第一处就是时间反调试，在反调试的开始调用time获取时间，在结束再调用一次time，当差值大于3就会触发反调试。因为使用脚本过反调试，所以两次时间差肯定是小于3的，所以只是用脚本简单的输出时间就可以了。0x19FC是time在libjiagu.so的plt段地址。

rtld_db_dlactivity函数：这个函数默认情况下为空函数，这里的值应该为0，而当有调试器时，这里会被改为断点指令，所以可以被用来做反调试。libjiagu.so的sub_1E9C就是用来查找rtld_db_dlactivity函数的地址的。sub_1E9C的代码就不贴了。过这个反调试我们就可以在sub_1E9C返回后，获取到rtld_db_dlactivity的地址，然后将其修改为nop指令0x46C0。

tracepid反调试:当我们使用Ptrace方式跟踪一个进程时，目标进程会记录自己被谁跟踪。过tracepid反调试可以在调用strtol后，将其返回值修改为0.

检测IDA的默认端口23946是否被占用,通过跟踪，可以发现sub_6DD0()函数判断23946端口是否被占用。原理就是查看/proc/net/tcp，过端口反调试，就可以通过更改sub_6DD0的返回值。

在反调试的最后还会调用一次time，计算差值，因为使用脚本过得，所以时间差值肯定小于3，这里只是简单输出一下时间

这部分的主要作用是手工实现加载链接第二个so，并且调用第二个的so的JNI_Onload方法。因为篇幅问题，只列出一些核心的步骤，具体的调试的方法是在case 31的BLX LR处下断点，跟踪sub_7BBC函数，就可以分析linker部分。既然是手工实现linker，那linker的主要功能就必不可少：装载和链接。下面就对应libjiagu.so中的函数来分析具体的装载与链接过程。分析的起点为sub_3DBC, sub_3DBC中调用了sub_4780,sub_3D60,sub_33F8,分别对应装载，创建soinfo，链接三个过程。首先定义两个后面会用到的数据结构，这两个数据结构的来源是通过动态调试分析出的，是后续很多函数的参数类型，和libjiagu.so的真实实现可能会有出入。

这一步骤libjiagu.so的实现和标准linker的实现十分相似。先说下标准linker的做法，创建ElfReader对象，通过 ElfReader 对象的 Load 方法将 SO 文件装载到内存。

下面看下libjiagu.so的实现，只是少了验证elf header的环节。

装载的第一步就是加载ELF Header，这一过程比较简单，直接看代码

这一过程也比较简单，利用上一步读取的program header，得到program header数量，然后分配空间，拷贝加密后到的program header table到分配的空间，然后解密。

ELF文件中所有类型为LOAD的segment都需加载到内存，这一步骤主要是计算加载所需要的空间并分配空间。这里需要说明一下loadbias，因为so可以指定加载基址，但指定的基址可能不是页对齐，所以实际加载的基址可能会和指定基址有个差值，loadbias用来保存这个差值。但一般so都是可以加载到任意地址的，所以loadbias的值一般就是so实际加载的基址。

遍历 program header table，找到类型为 PT_LOAD 的 segment:

使用mrpotect和memcpy将段映射到内存，指定映射地址为 seg_page_start，长度为 file_length，文件偏移为 file_page_start。

至此第二个so已经完成了装载。

完成装载后，就需要创建soinfo结构，并利用MELFReader设置一些soinfo参数。

自定义linker最重要的一步就是链接，链接主要步骤是：

清楚第二个so的加载流程后，就可以dump出第二个so，具体做法是在sub_3DBC处下断点，dump内存，并且解密ELF header 和 program header table。解密算法是libjiagu.so中的sub_6868.

在加载完第二个so后，libjiagu.so通过sub_3F7C(soinfo info, char fucname),来找到第二个so的JNI_Onload入口，并在case 35中跳转到第二个so的JNI_Onload.

这一部分就正式开始执行源apk中的代码了。

源dex要被执行，肯定需要加载，所以在libart.so的OpenMemory函数下断点就可以dump出dex，使用IDAPython dump dex

用jeb打开dump出来的dex可以发现 oncreate函数native化了。

native化通过静态修改dex中onCreate函数的DexMethod结构就可以，但要想正确执行，必须在执行时动态注册，通过拦截JNI注册函数RegisterNative可以找到onCreate函数的地址

然后在oncreate函数下断点

通过上一步可以找到onCreate在第二个so中的地址，f5之后代码如下：

直接调用了sub_D930，进入sub_D930分析，这个函数比较长，大致分析了一下流程：

其中第二步的核心代码如下：

核心为sub_66BD4函数，具体原理没分析。获取到了onCreate的DexCode后,进入虚拟机执行加密后的DexCode。

虚拟机的入口在sub_3FE5C中调用的sub_3FF5C，进入虚拟机入口后，就如下图

具体原理就是：

具体分支数的计算算法，参考文章中说的很详细了，就不重复了。至此壳子的基本原理分析完了，接下来还要学习下davik虚拟机是如何解释执行指令的。逆向新手，有错误欢迎指正。
参考文章：
https://bbs.pediy.com/thread-223796.htm

def getModuleBase(moduleName):
    base = GetFirstModule()
    while (base != None) and (GetModuleName(base).find(moduleName) == -1):
        base = GetNextModule(base)
    if base == None:
        print "failed to find module: " + moduleName 
        return None
    else:
        return base

def addBrk(moduleName, functin_offset):
    base = getModuleBase(moduleName)
    AddBpt(base + functin_offset)


def fn_f7():
    idaapi.step_into()
    GetDebuggerEvent(WFNE_SUSP | WFNE_SUSP, -1) 

def fn_f8():
    idaapi.step_over()
    GetDebuggerEvent(WFNE_SUSP | WFNE_CONT, -1) 

def fn_f9():
    idaapi.continue_process()
    GetDebuggerEvent(WFNE_SUSP | WFNE_CONT, -1) 

def delBrk(moduleName, function_offset):
    base = getModuleBase(moduleName)
    DelBpt(base + function_offset)

    #add breakpoint at time
    addBrk("libjiagu.so", 0x19FC)
    fn_f9()
    delBrk("libjiagu.so", 0x19FC)
    print("first call time")
    lr = GetRegValue("LR")
    AddBpt(lr)
    fn_f9()
    r0 = GetRegValue("R0")
    DelBpt(lr)
    print("first get time: %x" % (r0))

    #add breakpoint at sub_1E9C 
    addBrk("libjiagu.so", 0x1E9c)
    fn_f9()
    delBrk("libjiagu.so", 0x1E9c)
    print("call sub_1E9C")
    #add breakpoint at return from sub_1E9C
    lr = GetRegValue("LR")
    AddBpt(lr)
    fn_f9()
    DelBpt(lr)
    #get rtld_db_dlactivity address
    r0 = GetRegValue("R0")
    print("rtld_db_dlactivity address is: %x" % (r0 - 1))
    #set rtld_db_dlactivity nop
    PatchDword(r0 - 1, 0x46c0)

    #add breakpoint at strtol
    addBrk("libjiagu.so", 0x1A80)
    fn_f9()
    delBrk("libjiagu.so", 0x1A80)
    print("call strtol")
    lr = GetRegValue("LR")
    #add breakpoint at return from strtol
    AddBpt(lr)
    fn_f9()
    DelBpt(lr)
    r0 = GetRegValue("R0")
    print("get trace id: %x" % (r0))
    SetRegValue(0, "R0")

    #add break point at sub_6DD0
    addBrk("libjiagu.so", 0x6DD0)
    fn_f9()
    lr = GetRegValue("LR")
    print("call sub_6DD0")
    delBrk("libjiagu.so", 0x6DD0)
    AddBpt(lr)
    fn_f9()
    SetRegValue(0, "R0")
    DelBpt(lr)

    #add break point at time in  sub_6EF8
    addBrk("libjiagu.so", 0x19FC)
    fn_f9()
    delBrk("libjiagu.so", 0x19FC)
    print("second call time")
    lr = GetRegValue("LR")
    AddBpt(lr)
    fn_f9()
    DelBpt(lr)
    r0 = GetRegValue("R0")
    print("second get time: %x" % (r0))
    #SetRegValue(r0 + 2, "R0")

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！