sgavmp篇
觉着降生
也许在业界中sgavmp算是一个比较高的点了;它让很多人望而生畏,特别是对于我这种菜鸡来说,它简直是一个无法跨越的屏障。和猫一样人也对一些事物充满好奇,但往往催生你欲望的不是好奇而是外界事物。前不久有一个阿里安全部的面试邀请,记得最后一面的时候面试官几次问到了我他们avmp的实现原理,在当时我几乎除了听过其名字外对此一无所知,这便燃起了我的好奇心。
聊到sgavmp就不得不聊聊liteVM,不过我并不想在这里过多的描述它,我会单独在写一篇liteVM的文章。在逆sgavmp早期litevm并没有引起我的过多注意,从sdk中我知道有它的存在,但是它是怎样的存在就不得而知了;然而你想逆sgavmp你就不得不过litevm这一关,它出现的机率不亚于sgavmp;早期的时候它经常会乱入,随着我们把坑慢慢填满,才终于发现原来litevm是这样的一个存在,它作为一个附属大礼包免费送给你了。
逆向sgavmp过程是极其煎熬和富有挑战的,因为它确实有难度;做逆向的人应该最喜欢流水式的程序,你不用思考,很多时候静态分析就解决了大半工作,剩下的部分只需看着伪代码在模糊点调试一下即可。困难和恐惧来自未知,当程序打破流水式的时候,你会发现即使有伪代码你仍看不懂,程序不在有连续性,它的走向是未知的;在未知中给你添加几个小黑盒,黑盒隐藏了大部分逻辑,当你兴高采烈的弄明白黑盒子时,你发现原来它只是个盒子,盒子里面的东西才是你想要的;当你再次高兴的把里面看清楚时,你发现原来你想要的东西还是在外面,你永远不会知道下一步等待你的是什么。代码风格好的程序也是逆向者的最爱,因为数据结构清晰,我们几乎不用动脑就能轻松的还原;如果编程者刻意隐藏结构之间的关系,让本来存在直接关系的结构变成间接关系,那想必会增加逆向难度。一个巨大的数据结构也会增加逆向的难度,想想如果你去逆向linux内核(假设没有源码),想还原task_struct结构你需要花特别多的力气,一个是它自身大,另外是和它存在关系的结构也非常巨大,想正确的还原每个结构的每个属性还是比较难的。
追寻正法
对于sdk类或者插件类程序,我并不喜欢直接调试或者逆向它的宿主程序,原因有三;一、sdk或者插件本身就已经很复杂,和宿主融合到一起后会更加复杂,无疑增加逆向程成本,二、需要找到sdk或者插件的调用入口点,三、需要绕过宿主的对抗。当一个宿主程序包罗万象大的夸张的时候,你千万别高估自己的定位能力,也千万别高估自己的耐心。
对抗sdk或者插件我的思路是从最小化集成到完全集成,通俗讲就是你来作为它的宿主,你负责它生命周期管理,需要什么集成什么,我也确是这么做的。
你的宿主可以很轻量化,并且能随时定制,仅提供你所需要的功能即可。
下图是我定制的宿主的view,它提供了我所需要的功能。
多道
sgmain、sgavmp、sgsecuritybody等前身是百川sdk下的无线保镖,最早由聚安全开发,同时对外对内都提供安全能力,对外提供低版本的5.x,对内提供更具安全能力的6.x版本;5.x版本不具备avmp、litevm功能,也不具备其他插件的能力。
如某内部app集成了无线保镖,它将拥有如下图所示部分(具体看实即集成):
就sgavmp来说,libsgavmp.so是一个压缩包,是一个完整的apk,而带版本号的so才是真正的so文件。
这些插件中,sgmain是主插件,其他插件强依赖这个插件,sgmain对其他插件可能存在弱依赖关系,也就是说sgmain可以独立运行,但其他插件不可以,sgmain插件的某些功能被单独拿出实现成了其他插件,因此对其他插件可能存在弱依赖。
sgmain插件:
sgavmp插件:
我之所以这么了解,是因为在逆向过程中遇到了解决不了的问题,我还特意注册申请了该sdk,详细的了解了文档中我想关注的地方;但很遗憾申请到的sdk版本是5.x的,上面也提到了它没有avmp,最终它也没能解决我的问题;但通过了解文档相关信息我更加了解这个sdk了,它对我最终逆向是有益的;因此提醒大家有些时候收集信息真的很重要,千万不要陷入埋头的怪圈。
我用的版本是sgmain6.4.176, sgavmp6.4.38,但为了保密性,我在文中隐藏了一些关键点,希望见谅。该文档仅仅用来学习交流,用来提高安全门槛,不能用来做恶意事情,否则后果自付!
初禅
当sgmain插件启动之后,我们就可以创建avmp了,来让我们通过sdk代码捋一下它的创建过程:
1、首先调用createAVMPIntance函数
2、内部类调用doCommand(60901)
3、so层先准备command, 它的JNI_OnLoad函数大致如下图:
4、创建avmp实例
创建过程还是比较复杂的,对应结构也比较复杂,我以简单的图示来来展示一下重要的创建过程(图示中的名称都是我自己命名的,不代表真实情况):
菩提证果
经过了漫长的逆向它慢慢的展现在我面前,我这里把一些结构的部分截图展示一下:
AvmpInst
AvmpInstVcode
XorAvmpInst
还有很多复杂的结构,我就不一一展示了,感兴趣的同学可以自己逆向挑战一下。
它有自己的内存管理,这个可能是大多vmp不具备的功能,外层数据需要下沉两层;一层是vmp内存数据对应的偏移,一层是真正的vmp内存。数据全程加密,当你使用数据时先进行解密,读取数据后在加密回去。
很多数据操作、交换、算法单单靠vmp指令实现是不现实的(代码膨胀的厉害、很多依赖关系无法解决),avmp依赖两种外部调用实现;一种是封装libc库函数(叫封装可能不贴切,叫引用更合适),我把此类函数称作innerFunc,它可以完成内外部数据的交换等操作,如memcpy,另一种调用也或多或少包含库函数,但除此之外它还可能调用sgmain中的相
关逻辑甚至是lvm,我把此类函数称之为handler,此类handler共13种,在初始化时会用200xx这样的编号进行注册。
如某个handler逻辑中包含调用command的逻辑;这两种外部函数对应其vmp指令类型
相同,关于创建我就说这么多把。
轮转法轮
波罗奈城
创建avmp实例后我们就可以进行vmp调用了,调用其大多是为了实现数据签名,我们来看一下sdk代码,调用avmp是通过doCommand(60902)来实现的,long型参数就是
创建avmp实例时返回的,它大概调用序列如下图:
摩揭陀国
创建avmp实例时我们会得到字节码,字节码的前8个字节用来匹配解释器,目前avmp实现了三种解释器;调用哪个算法是通过匹配模块符号来确定的,字节码9-16字节用来确定模块符号,通过模块符号匹配定位模块索引,最终我们就可以找到字节码了。
释迦国
指令解析,就如同arm指令一样它定义了一套自己的指令集,指令长度同样为4字节,它大概如下图的样子(并不能十分准确):
做逆向可以直接通过逆向工具看到汇编代码(它向我们隐藏了解码过程),对于指令的解析,运行时cpu直接译码,静态时反编译器帮助我们解码;在实现自定义指令或者vmp时,解码工作是我们实现解释器的重要功能,解释器负责按照指令定义格式一个指令一个指令的一步一步解析,先加载指令;
接着解析指令;
我们以avmp某个指令为例(如指令 000C7BC2,指令类型为2):
1、 取指令类型
2、 取11-15位, 原寄存器索引, 原寄存器Rn, 取16-27位shift
3、取指令第29、30位, 条件码(这里作为偏移的一部分用)
4、影响标志位,shift2 = offset | CPSR[29] | CPSR[30] , 同时更新cpsr寄存器
5、load加载vmp实例原寄存器Rn对应的双字的值
6、指令>>16 & 0xc000, 取条件码(这里作为偏移的一部分用)对应指令第31, 32位
7、影响标记位,SHIFT = shift2 | CSPR[31-32], 同时更新cpsr寄存器
8、val = Rn + SHIFT
9、取指令6-11位为目标寄存器Rd
10、stroe val, Rd # 保存数据到目标寄存器
此指令似乎是完成 Rd <- [Rn] + offset, 这里指令的高4位用作立即数(偏移)的一部分,至此一条指令执行完成。
指令解析还是比较复杂的,解释器是由n多这样的块组成,最终完成各种指令的解析。
FFFFFFFE类似是pop指令
FFFFFFEE类似是mov指令
xxxxxxxA指令类似ldr r0, [[base + off], addv], add r0, off + shift, str r0 [base + rd]
FFFFFFFA类似是mov指令把内存值移动到寄存器, ldr r0, [[base + off], addv], str r0, rd
00000014指令会调用innerfunc或者handler
……
我们需要特别关注一些类型为14的指令,因为它负责调用外部例程(上面提到的),如调用innerFunc:
在例如调用handler,先根据注册类型查找handler:
查找到handler后调用相应的handler:
舍卫城
avmp主要用来实现签名算法的,其逻辑十分复杂,从上面的调用序列我们可以得到执行逻辑除vmp指令外,它还在lvm和securitybody之间穿梭;即使不存在vmp指令这套算法逻辑还是很复杂的,它的复杂不再于最后计算算法的本身,而是在于对抗逆向上,想彻底搞明白它的算法,还原它的算法还是很难的。
对于签名算法我想说的是,如就sign算法:
首先它由三部分构成(三个部分拼接而成),算法外层分为两大类,算法内部每套都调用了三种密码学类算法(两套公用了四种密码学算法)。
其次你更多的需要关注handler,有一个handler特别重要,每次它都是进入lvm的入口,也是最终调用算法的入口。
再次最终算法和securitybody有关,它会间接的进入lvm。
娑罗双树
金刚经
说了这么多,其实我觉得了解它的vmp指令或者还原它的指令、算法意义不大,我们应该更多的学习别人的优点,学习他们怎么做加固对抗的;另外补充说明他们真的很强大,做的东西真的很牛逼。
法华经
展示结果,1调试获取
2、程序黑盒
结果
涅槃经
不过是个东西就有利有弊,我也肤浅的提出一些自己的看法,又不对的地方还请原谅:
优点: 全程加密;复杂、特别复杂,完全是指令级别的vmp,有自己的指令集,设计过于复杂;拥有自己的内存管理,数据在内部保密性好;拥有多层数据管理,数据分散,保密性好。
缺点: 有独立内存也恰巧给了别人窥视的机会;很多复杂算法如加密算法(不是指vmp的内部数据加密)都是最终调用的外部实现这给了别人可乘之机;内部加解密也给了别人观看数据的机会;浪费空间浪费内存,内部内存太大,大多都用不到,一般小内存手机根本跑不起来,频繁的vmp内存操作,影响效率。
虽然这么说,但我自己可能连vmp都实现不了,哈哈,因为它确实已经非常优秀了,该有的都有,你能想到的它都有。
再次声明:该文档仅仅用来学习交流,用来提高安全门槛,不能用来做恶意事情,否则后果自付!
本人该项目github地址: https://github.com/ylcangel/crack_sgavmp
会不会提交某些数据结构看个人心情,你千万别指望我会这么做,谢谢!
转载需标明出处,否则发现必究!!!
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2020-7-13 12:52
被angelToms编辑
,原因: