sgavmp篇

觉着降生

也许在业界中sgavmp算是一个比较高的点了；它让很多人望而生畏，特别是对于我这种菜鸡来说，它简直是一个无法跨越的屏障。和猫一样人也对一些事物充满好奇，但往往催生你欲望的不是好奇而是外界事物。前不久有一个阿里安全部的面试邀请，记得最后一面的时候面试官几次问到了我他们avmp的实现原理，在当时我几乎除了听过其名字外对此一无所知，这便燃起了我的好奇心。

聊到sgavmp就不得不聊聊liteVM，不过我并不想在这里过多的描述它，我会单独在写一篇liteVM的文章。在逆sgavmp早期litevm并没有引起我的过多注意，从sdk中我知道有它的存在，但是它是怎样的存在就不得而知了；然而你想逆sgavmp你就不得不过litevm这一关，它出现的机率不亚于sgavmp；早期的时候它经常会乱入，随着我们把坑慢慢填满，才终于发现原来litevm是这样的一个存在，它作为一个附属大礼包免费送给你了。

逆向sgavmp过程是极其煎熬和富有挑战的，因为它确实有难度；做逆向的人应该最喜欢流水式的程序，你不用思考，很多时候静态分析就解决了大半工作，剩下的部分只需看着伪代码在模糊点调试一下即可。困难和恐惧来自未知，当程序打破流水式的时候，你会发现即使有伪代码你仍看不懂，程序不在有连续性，它的走向是未知的；在未知中给你添加几个小黑盒，黑盒隐藏了大部分逻辑，当你兴高采烈的弄明白黑盒子时，你发现原来它只是个盒子，盒子里面的东西才是你想要的；当你再次高兴的把里面看清楚时，你发现原来你想要的东西还是在外面，你永远不会知道下一步等待你的是什么。代码风格好的程序也是逆向者的最爱，因为数据结构清晰，我们几乎不用动脑就能轻松的还原；如果编程者刻意隐藏结构之间的关系，让本来存在直接关系的结构变成间接关系，那想必会增加逆向难度。一个巨大的数据结构也会增加逆向的难度，想想如果你去逆向linux内核（假设没有源码），想还原task_struct结构你需要花特别多的力气，一个是它自身大，另外是和它存在关系的结构也非常巨大，想正确的还原每个结构的每个属性还是比较难的。

追寻正法

       对于sdk类或者插件类程序，我并不喜欢直接调试或者逆向它的宿主程序，原因有三；一、sdk或者插件本身就已经很复杂，和宿主融合到一起后会更加复杂，无疑增加逆向程成本，二、需要找到sdk或者插件的调用入口点，三、需要绕过宿主的对抗。当一个宿主程序包罗万象大的夸张的时候，你千万别高估自己的定位能力，也千万别高估自己的耐心。

       对抗sdk或者插件我的思路是从最小化集成到完全集成，通俗讲就是你来作为它的宿主，你负责它生命周期管理，需要什么集成什么，我也确是这么做的。

       你的宿主可以很轻量化，并且能随时定制，仅提供你所需要的功能即可。

下图是我定制的宿主的view，它提供了我所需要的功能。

多道

sgmain、sgavmp、sgsecuritybody等前身是百川sdk下的无线保镖，最早由聚安全开发，同时对外对内都提供安全能力，对外提供低版本的5.x，对内提供更具安全能力的6.x版本；5.x版本不具备avmp、litevm功能，也不具备其他插件的能力。

如某内部app集成了无线保镖，它将拥有如下图所示部分（具体看实即集成）：

就sgavmp来说，libsgavmp.so是一个压缩包，是一个完整的apk，而带版本号的so才是真正的so文件。

这些插件中，sgmain是主插件，其他插件强依赖这个插件，sgmain对其他插件可能存在弱依赖关系，也就是说sgmain可以独立运行，但其他插件不可以，sgmain插件的某些功能被单独拿出实现成了其他插件，因此对其他插件可能存在弱依赖。

sgmain插件：

sgavmp插件：

我之所以这么了解，是因为在逆向过程中遇到了解决不了的问题，我还特意注册申请了该sdk，详细的了解了文档中我想关注的地方；但很遗憾申请到的sdk版本是5.x的，上面也提到了它没有avmp，最终它也没能解决我的问题；但通过了解文档相关信息我更加了解这个sdk了，它对我最终逆向是有益的；因此提醒大家有些时候收集信息真的很重要，千万不要陷入埋头的怪圈。

       我用的版本是sgmain6.4.176, sgavmp6.4.38，但为了保密性，我在文中隐藏了一些关键点，希望见谅。该文档仅仅用来学习交流，用来提高安全门槛，不能用来做恶意事情，否则后果自付！

初禅

当sgmain插件启动之后，我们就可以创建avmp了，来让我们通过sdk代码捋一下它的创建过程：

1、首先调用createAVMPIntance函数

2、内部类调用doCommand(60901)

3、so层先准备command, 它的JNI_OnLoad函数大致如下图：

4、创建avmp实例

创建过程还是比较复杂的，对应结构也比较复杂，我以简单的图示来来展示一下重要的创建过程（图示中的名称都是我自己命名的，不代表真实情况）:

菩提证果

经过了漫长的逆向它慢慢的展现在我面前，我这里把一些结构的部分截图展示一下：

AvmpInst

AvmpInstVcode

XorAvmpInst

还有很多复杂的结构，我就不一一展示了，感兴趣的同学可以自己逆向挑战一下。

它有自己的内存管理，这个可能是大多vmp不具备的功能，外层数据需要下沉两层；一层是vmp内存数据对应的偏移，一层是真正的vmp内存。数据全程加密，当你使用数据时先进行解密，读取数据后在加密回去。

       很多数据操作、交换、算法单单靠vmp指令实现是不现实的（代码膨胀的厉害、很多依赖关系无法解决），avmp依赖两种外部调用实现；一种是封装libc库函数(叫封装可能不贴切，叫引用更合适)，我把此类函数称作innerFunc，它可以完成内外部数据的交换等操作，如memcpy，另一种调用也或多或少包含库函数，但除此之外它还可能调用sgmain中的相

关逻辑甚至是lvm，我把此类函数称之为handler，此类handler共13种，在初始化时会用200xx这样的编号进行注册。

如某个handler逻辑中包含调用command的逻辑；这两种外部函数对应其vmp指令类型

相同，关于创建我就说这么多把。

轮转法轮

波罗奈城

创建avmp实例后我们就可以进行vmp调用了，调用其大多是为了实现数据签名，我们来看一下sdk代码，调用avmp是通过doCommand(60902)来实现的，long型参数就是

创建avmp实例时返回的，它大概调用序列如下图：

摩揭陀国

创建avmp实例时我们会得到字节码，字节码的前8个字节用来匹配解释器，目前avmp实现了三种解释器；调用哪个算法是通过匹配模块符号来确定的，字节码9-16字节用来确定模块符号，通过模块符号匹配定位模块索引，最终我们就可以找到字节码了。

释迦国

指令解析，就如同arm指令一样它定义了一套自己的指令集，指令长度同样为4字节，它大概如下图的样子（并不能十分准确）：

做逆向可以直接通过逆向工具看到汇编代码（它向我们隐藏了解码过程），对于指令的解析，运行时cpu直接译码，静态时反编译器帮助我们解码；在实现自定义指令或者vmp时，解码工作是我们实现解释器的重要功能，解释器负责按照指令定义格式一个指令一个指令的一步一步解析，先加载指令；

接着解析指令；

我们以avmp某个指令为例（如指令 000C7BC2，指令类型为2）：

1、 取指令类型

2、 取11-15位, 原寄存器索引, 原寄存器Rn, 取16-27位shift

3、取指令第29、30位, 条件码(这里作为偏移的一部分用)

4、影响标志位，shift2 = offset | CPSR[29] | CPSR[30] , 同时更新cpsr寄存器

5、load加载vmp实例原寄存器Rn对应的双字的值

6、指令>>16 & 0xc000, 取条件码(这里作为偏移的一部分用)对应指令第31, 32位

7、影响标记位，SHIFT = shift2 | CSPR[31-32], 同时更新cpsr寄存器

8、val = Rn + SHIFT

9、取指令6-11位为目标寄存器Rd

10、stroe val, Rd #  保存数据到目标寄存器

此指令似乎是完成 Rd <- [Rn] + offset, 这里指令的高4位用作立即数（偏移）的一部分，至此一条指令执行完成。

指令解析还是比较复杂的，解释器是由n多这样的块组成，最终完成各种指令的解析。

FFFFFFFE类似是pop指令

FFFFFFEE类似是mov指令

xxxxxxxA指令类似ldr r0,  [[base + off], addv], add r0, off + shift,  str r0 [base + rd]

FFFFFFFA类似是mov指令把内存值移动到寄存器, ldr r0,  [[base + off], addv], str r0, rd

00000014指令会调用innerfunc或者handler

……

我们需要特别关注一些类型为14的指令，因为它负责调用外部例程(上面提到的)，如调用innerFunc：

在例如调用handler，先根据注册类型查找handler：

查找到handler后调用相应的handler：

舍卫城

avmp主要用来实现签名算法的，其逻辑十分复杂，从上面的调用序列我们可以得到执行逻辑除vmp指令外，它还在lvm和securitybody之间穿梭；即使不存在vmp指令这套算法逻辑还是很复杂的，它的复杂不再于最后计算算法的本身，而是在于对抗逆向上，想彻底搞明白它的算法，还原它的算法还是很难的。

对于签名算法我想说的是，如就sign算法：

首先它由三部分构成（三个部分拼接而成），算法外层分为两大类，算法内部每套都调用了三种密码学类算法（两套公用了四种密码学算法）。

其次你更多的需要关注handler，有一个handler特别重要，每次它都是进入lvm的入口，也是最终调用算法的入口。

再次最终算法和securitybody有关，它会间接的进入lvm。

娑罗双树

金刚经

       说了这么多，其实我觉得了解它的vmp指令或者还原它的指令、算法意义不大，我们应该更多的学习别人的优点，学习他们怎么做加固对抗的；另外补充说明他们真的很强大，做的东西真的很牛逼。

法华经

       展示结果，1调试获取

2、程序黑盒

结果

涅槃经

不过是个东西就有利有弊，我也肤浅的提出一些自己的看法，又不对的地方还请原谅：

优点： 全程加密；复杂、特别复杂，完全是指令级别的vmp，有自己的指令集，设计过于复杂；拥有自己的内存管理，数据在内部保密性好；拥有多层数据管理，数据分散，保密性好。

缺点： 有独立内存也恰巧给了别人窥视的机会；很多复杂算法如加密算法(不是指vmp的内部数据加密)都是最终调用的外部实现这给了别人可乘之机；内部加解密也给了别人观看数据的机会；浪费空间浪费内存，内部内存太大，大多都用不到，一般小内存手机根本跑不起来，频繁的vmp内存操作，影响效率。

虽然这么说，但我自己可能连vmp都实现不了，哈哈，因为它确实已经非常优秀了，该有的都有，你能想到的它都有。

       再次声明：该文档仅仅用来学习交流，用来提高安全门槛，不能用来做恶意事情，否则后果自付！

       本人该项目github地址: https://github.com/ylcangel/crack_sgavmp

会不会提交某些数据结构看个人心情，你千万别指望我会这么做，谢谢！

转载需标明出处，否则发现必究！！！

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界