[原创] 记一次so文件动态解密-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] 记一次so文件动态解密

发表于: 2020-7-8 11:32 22841

[原创] 记一次so文件动态解密

Simp1er

2020-7-8 11:32

22841

整个程序基本上就是一个动态注册 + so函数加密的逻辑，中间加了一些parser的东西

主要考察了elf文件结构的一些知识以及在攻防对抗中防止IDA静态分析的姿势

找到flag

360加固,先脱壳，看入口函数MainActivity

具体的逻辑写到so里了，使用IDA打开so文件,先看有没有.init和.init_array,发现只有.init_array节，

跟进去一看又是字符串解密函数，解密之后，代码如下（这里我根据解密后的数据进行了重命名）

回过来看JNI_Onload函数,

其实就是将native函数test函数动态注册到ooxx函数，直接看ooxx函数

可以发现除了调用了sub_8930之外，就是一堆垃圾代码，先跟进sub_8930函数

这里我把函数分为三块，先看第一块

经过分析，实际上就是读/proc/self/maps的标准输出，从而获取到对应于libnaitve-lib.so的那一行，然后以-分割字符串，并将分割后的第一段解析为16进制的数，实际上就是获取libnaitve-lib.so的加载基地址。

再看第二块，也就是sub_8B90函数的实现

这个地方你仔细地去分析对比，会发现其实就是一个读so文件的对应于symbol name为ooxx的symbol table表项中的value和size,其实就是读ooxx的函数起始地址以及函数大小。其实也就是一个parser的过程之一

对了，这个函数中的一行，也就是v5 = turn_ooxx(s2);这里调用的turn_ooxx函数中的伪代码直接copy出来跑一跑，就可以得到v5的值。我也没有分析这个过程，直接跑的。。

接着看sub_8930函数的第三块。

经过分析会发现，围绕mprotect函数将这个部分再次分成三块，分别实现功能为

这里第二块中的*i ^= byte_1C180[&i[-v5]];这个部分，再加上byte_1C180实际上在bss段，不想再去分析了，直接动态吧。
这里使用objection在动态运行时dump出对应内存中的数据，

使用010 editor查看对应文件

很明显那就是0-255的字节咯，继续看伪码，会发现实际上这里的&i[-v5]实际上就相当于i-v5,而v5为i的初值，那么patch脚本就有了

执行这个脚本之后,查看ooxx函数内容

最终会发现，实际上ooxx就是拿我的输入和kanxuetest进行对比。。验证下

拿到flag

整个程序实际上真正难的地方在于看出parser的过程，不过我猜如果写过parser相信会很容易的看出来，还有
另外，这个程序有点类似于之前寒冰师傅说的在函数执行开始之前对函数内容进行恢复，函数执行结束时再还原回加密状态，再加上插入了一堆MOV R0, R0这种无效代码，让我感觉真像so层的"函数抽取壳"的实现。。神奇的题目，最后，附上附件

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-7-8 11:32 被Simp1er编辑，原因：

上传的附件：

附件.zip （2.14MB，197次下载）

收藏・47

免费・12

支持

最新回复 (23)
0x指纹雪币： 4883 活跃值： (18890) 能力值： ( LV13，RANK：317 ) 在线值：发帖 12 回帖 220 粉丝 581 关注私信	0x指纹 6 2 楼感谢分享~ 2020-7-8 14:18 0
浅笑不语雪币： 19950 活跃值： (4942) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 2 关注私信	浅笑不语 3 楼感谢楼主分享 2020-7-9 18:37 0
Necopy 雪币： 1 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	Necopy 4 楼请问这个是2w班的练习题吗？ 2020-7-10 10:42 0
THT-EX 雪币： 241 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	THT-EX 5 楼更新搂主分享 2020-7-13 07:33 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 6 楼请问脱壳那里 native onCreate是怎么还原的？ 2020-7-14 13:23 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 7 楼 Necopy 请问这个是2w班的练习题吗？对 2020-7-14 13:47 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 8 楼 neilwu 请问脱壳那里 native onCreate是怎么还原的？不需要还原 2020-7-14 13:47 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 9 楼这里是脱壳之后就有的嘛？请问你用的什么脱壳的？ 2020-7-14 14:20 1
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 10 楼 neilwu 这里是脱壳之后就有的嘛？请问你用的什么脱壳的？对的，FART脱的壳 2020-7-14 14:43 0
看雪高研雪币： 196 活跃值： (5906) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 11 楼不论是dex保护中的函数抽取，还是so中函数的保护，时机都是非常关键的。时机不对，即使是正确的内存地址偏移,dump得到的smali指令流以及汇编代码都可能是不对的，依然是未解密的字节流。这道题是对so中函数的一个保护，在被保护的函数的关键逻辑执行前进行解密，执行结束后会再次对关键逻辑进行加密。因此，正确的时机便是关键逻辑被解密后，抓住这一点便能成功拿到flag 2020-7-14 17:07 1
本菜很懒雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	本菜很懒 12 楼大佬牛i逼 2020-7-29 11:04 0
qxpy_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	qxpy_ 13 楼牛i逼 2020-11-21 22:10 0
lujunhuaqq 雪币： 160 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	lujunhuaqq 14 楼牛大佬佩服 2020-11-29 00:00 0
菜鸟也想飞雪币： 178 活跃值： (1306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 2 关注私信	菜鸟也想飞 15 楼感谢分享 2021-7-23 09:24 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 16 楼大佬牛逼 2021-7-27 02:04 0
教教我吧~ 雪币： 158 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	教教我吧~ 17 楼请问2w班有对该练习题进行讲解吗？ 2023-4-1 10:41 0
教教我吧~ 雪币： 158 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	教教我吧~ 18 楼您好，执行您的patch脚本之后,0x8e00——0x8fd0的汇编全变成MOV R0, R0，然后反编译后，出现下面的问题，请问您知道原因吗？ 2023-4-1 11:34 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 19 楼我也是和楼上一样 2023-5-11 16:10 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 20 楼 Losir 我也是和楼上一样时间太过久远，我已经忘了实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有错误日志出来吧 2023-5-15 09:28 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 21 楼 Simp1er 时间太过久远，我已经忘了[em_5] 实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有 ... 大佬，感谢回复，你的patch代码有问题，当i=255，取余为0，但实际上应该和0xff亦或，当i=256,取余为1，但实际上应该和0亦或，也就是说，从i=255开始，后面的patch全错了。 2023-5-23 11:57 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 22 楼 Simp1er 时间太过久远，我已经忘了[em_5] 实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有 ... def patchBytes(addr, length): for i in range(length): if i < 255: byte = get_bytes(addr + i,1) byte = ord(byte) ^ (i % 0xff) patch_byte(addr + i, byte) elif i == 255: byte = get_bytes(addr + i,1) byte = ord(byte) ^ 0xff patch_byte(addr + i, byte) else: byte = get_bytes(addr + i,1) byte = ord(byte) ^ ((i - 1) % 0xff) patch_byte(addr + i, byte) patchBytes(0x8e00, 0x8fd0 - 0x8e00) 修改后的脚本 2023-5-23 12:15 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 23 楼教教我吧~ 您好，执行您的patch脚本之后,0x8e00——0x8fd0的汇编全变成MOV           & ... 可以看我的回复，patch之后记得保存，然后用ida 重新打开就ok啦。 2023-5-23 12:17 1
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 24 楼 APK样本方便再上传下不? 可以了我网络问题一开始显示过期了最后于 2024-4-19 09:46 被ivy1编辑，原因： 2024-4-19 09:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Simp1er

发帖

156

回帖

146

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
0x指纹雪币： 4883 活跃值： (18890) 能力值： ( LV13，RANK：317 ) 在线值：发帖 12 回帖 220 粉丝 581 关注私信	0x指纹 6 2 楼感谢分享~ 2020-7-8 14:18 0
浅笑不语雪币： 19950 活跃值： (4942) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 2 关注私信	浅笑不语 3 楼感谢楼主分享 2020-7-9 18:37 0
Necopy 雪币： 1 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	Necopy 4 楼请问这个是2w班的练习题吗？ 2020-7-10 10:42 0
THT-EX 雪币： 241 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	THT-EX 5 楼更新搂主分享 2020-7-13 07:33 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 6 楼请问脱壳那里 native onCreate是怎么还原的？ 2020-7-14 13:23 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 7 楼 Necopy 请问这个是2w班的练习题吗？对 2020-7-14 13:47 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 8 楼 neilwu 请问脱壳那里 native onCreate是怎么还原的？不需要还原 2020-7-14 13:47 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 9 楼这里是脱壳之后就有的嘛？请问你用的什么脱壳的？ 2020-7-14 14:20 1
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 10 楼 neilwu 这里是脱壳之后就有的嘛？请问你用的什么脱壳的？对的，FART脱的壳 2020-7-14 14:43 0
看雪高研雪币： 196 活跃值： (5906) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 11 楼不论是dex保护中的函数抽取，还是so中函数的保护，时机都是非常关键的。时机不对，即使是正确的内存地址偏移,dump得到的smali指令流以及汇编代码都可能是不对的，依然是未解密的字节流。这道题是对so中函数的一个保护，在被保护的函数的关键逻辑执行前进行解密，执行结束后会再次对关键逻辑进行加密。因此，正确的时机便是关键逻辑被解密后，抓住这一点便能成功拿到flag 2020-7-14 17:07 1
本菜很懒雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	本菜很懒 12 楼大佬牛i逼 2020-7-29 11:04 0
qxpy_ 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	qxpy_ 13 楼牛i逼 2020-11-21 22:10 0
lujunhuaqq 雪币： 160 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	lujunhuaqq 14 楼牛大佬佩服 2020-11-29 00:00 0
菜鸟也想飞雪币： 178 活跃值： (1306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 2 关注私信	菜鸟也想飞 15 楼感谢分享 2021-7-23 09:24 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 16 楼大佬牛逼 2021-7-27 02:04 0
教教我吧~ 雪币： 158 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	教教我吧~ 17 楼请问2w班有对该练习题进行讲解吗？ 2023-4-1 10:41 0
教教我吧~ 雪币： 158 活跃值： (1111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	教教我吧~ 18 楼您好，执行您的patch脚本之后,0x8e00——0x8fd0的汇编全变成MOV R0, R0，然后反编译后，出现下面的问题，请问您知道原因吗？ 2023-4-1 11:34 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 19 楼我也是和楼上一样 2023-5-11 16:10 0
Simp1er 雪币： 2270 活跃值： (5537) 能力值： ( LV8，RANK：146 ) 在线值：发帖 42 回帖 156 粉丝 132 关注私信	Simp1er 20 楼 Losir 我也是和楼上一样时间太过久远，我已经忘了实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有错误日志出来吧 2023-5-15 09:28 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 21 楼 Simp1er 时间太过久远，我已经忘了[em_5] 实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有 ... 大佬，感谢回复，你的patch代码有问题，当i=255，取余为0，但实际上应该和0xff亦或，当i=256,取余为1，但实际上应该和0亦或，也就是说，从i=255开始，后面的patch全错了。 2023-5-23 11:57 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 22 楼 Simp1er 时间太过久远，我已经忘了[em_5] 实在抱歉，麻烦自己再研究研究吧，可以先把原来的byte show出来，然后看看执行完函数的byte是什么样，确定下是否函数执行成功了，关注下output窗口是否有 ... def patchBytes(addr, length): for i in range(length): if i < 255: byte = get_bytes(addr + i,1) byte = ord(byte) ^ (i % 0xff) patch_byte(addr + i, byte) elif i == 255: byte = get_bytes(addr + i,1) byte = ord(byte) ^ 0xff patch_byte(addr + i, byte) else: byte = get_bytes(addr + i,1) byte = ord(byte) ^ ((i - 1) % 0xff) patch_byte(addr + i, byte) patchBytes(0x8e00, 0x8fd0 - 0x8e00) 修改后的脚本 2023-5-23 12:15 0
Losir 雪币： 324 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Losir 23 楼教教我吧~ 您好，执行您的patch脚本之后,0x8e00——0x8fd0的汇编全变成MOV           & ... 可以看我的回复，patch之后记得保存，然后用ida 重新打开就ok啦。 2023-5-23 12:17 1
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 24 楼 APK样本方便再上传下不? 可以了我网络问题一开始显示过期了最后于 2024-4-19 09:46 被ivy1编辑，原因： 2024-4-19 09:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复