首页
社区
课程
招聘
[原创]移动样本之初学脱壳
发表于: 2018-7-16 17:04 10036

[原创]移动样本之初学脱壳

2018-7-16 17:04
10036

概况

本次分析的样本来自,ISCC竞赛(http://www.isclab.org.cn/)移动逆向的赛题,作为本人的练手之作。本次分析过程中,主要通过IDA调试Dump出dex文件,并且进行简单地代码阅读即可完成Capture Flag(拔旗)!


1.由JEB,查看Manifest根据带有"android.intent.action.MAIN"和"android.intent.category.LAUNCHER"确定该activity为入口活动,由android:name确定入口类为"org.isclab.shh.protectapp.MainActivity"


图[1]:确定入口活动

2.根据jeb左侧列表未找到MainActivity类,隐藏入口类,确定该APP已经加固。


图[2]:类列表

3.根据APP应用的启动流程可以知道,dex文件最终会被加载进内存,所以思路就是,只要在载入内存前,找到并dump出来即可。这里因为测试机是Android4.4还在使用DVM虚拟机,所以只要找到libdvm.so下的dvmDexFileOpenPartial函数并下断点即可。

首先将IDA目录下的android_server文件push进/data/local下(只要让文件可执行就行),赋予权限chmod 777 /data/local/android_server,然后./data/local/android_server执行(为了让ida可以远程连接,需要手机ARM架构)


图[3]:android_server执行

4.端口转发adb forward tcp:23946 tcp:23946,让手机中的23946端口映射到PC本地23946端口,用来IDA和手机通信连接(这里需要注意:一旦android_server断开了,重启后需要重新端口转发,要不然IDA连接不到手机的进程)

5.执行adb shell am start –D –n com.example.protectapp/ org.isclab.shh.protectapp.MainActivity(包名/入口类),让需要脱壳的程序在开启入口活动前进入等待调试连接状态。


图[4]:程序等待调试状态

6.打开IDA,选择远程调试连接,然后输入127.0.0.1进行本地调试,并勾选这三个选项,然后Ctrl+F搜所相关字符串,选择需要调试的进程


图[5]:远程连接


图[6]:填写选项


图[7]:选择进程

7.打开Android Device Monitor(android studio自带工具),必须选中需要调试的进程(这里注意一下,如果没有出现进程列表,尝试1.adb kill-server,2.adb start-server然后重新从执行android_server开始),然后adb 连接安卓应用,jdb –connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700


图[8]:选中需要调试的进程


图[9]:jdb连接程序

8.打开第6步填好选项的IDA,选择libdvm.so文件(modules模块下,也可以经过Debugger->Debugger windows->Modules List),双击进入,选择dvmDexFileOpenPartialPKviPP6DvmDex函数并下断点


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
打赏 + 5.00雪花
打赏次数 1 雪花 + 5.00
 
赞赏  supperlitt   +5.00 2019/03/15 感谢分享
最新回复 (16)
雪    币: 2709
活跃值: (1637)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
这不是  最初的爱加密的壳子么
2018-7-16 17:54
0
雪    币: 59
活跃值: (185)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
不错不错,支持楼主
2018-7-17 19:21
0
雪    币: 51
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
尼玛,我今天写了一个一摸一样的文章,缘分啊
2018-7-17 21:25
0
雪    币: 2219
活跃值: (3281)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
5
入门不易,设优鼓励
2018-7-17 21:46
0
雪    币: 1192
活跃值: (508)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
顶一下,毕竟爆照了呢
2018-7-18 16:51
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
顶顶顶
2018-7-19 10:06
0
雪    币: 210
活跃值: (721)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
8
嘿嘿,顶一波
2018-7-21 09:57
0
雪    币: 140
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
不错不错,支持一下
2018-7-21 14:05
0
雪    币: 5
活跃值: (357)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
说个坑吧,,模拟器请用Linux 选项
2018-7-23 10:01
0
雪    币: 242
活跃值: (41)
能力值: ( LV4,RANK:44 )
在线值:
发帖
回帖
粉丝
11
谢谢分享,写的真的很详细,但是有个问题就是在dvmDexFileOpenPartial里R0存放dex文件开始位置,R1是文件大小是怎么看出来的。
2018-8-1 11:14
0
雪    币: 277
活跃值: (3363)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
我二年前写过几乎一样的帖子,,没有给优秀,,有天理吗,,还是刚出来的时候
2018-8-1 13:15
0
雪    币: 419
活跃值: (845)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
13
xeldax 谢谢分享,写的真的很详细,但是有个问题就是在dvmDexFileOpenPartial里R0存放dex文件开始位置,R1是文件大小是怎么看出来的。
从别的大佬引用的,“通过函数原型  dvmDexFileOpenPartial(addr, len, &pDvmDex) 可以知道, addr(R0) 保存的是原来 apk classes.dex 的文件起始地址,len(R1) 保存的是原来 apk classes.dex 的文件长度”
2018-9-7 16:04
0
雪    币: 419
活跃值: (845)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
14
gtict 我二年前写过几乎一样的帖子,,没有给优秀,,有天理吗,,还是刚出来的时候
大佬,不要在意这些小细节
2018-9-7 16:04
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
mark
2018-9-7 19:46
0
雪    币: 27
活跃值: (1808)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好东西啊,支持楼主的贡献
2019-3-16 15:56
0
雪    币: 3997
活跃值: (382)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
17
xeldax 谢谢分享,写的真的很详细,但是有个问题就是在dvmDexFileOpenPartial里R0存放dex文件开始位置,R1是文件大小是怎么看出来的。
寄存器传参  R0保存第一个参数也就是起始地址 R1是第二个参数也就是要dump的dex文件的长度   可以去看下源码
2019-4-3 23:21
0
游客
登录 | 注册 方可回帖
返回
//