[原创]记录一次非常简单的so层小逆向，适合小白入门-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记录一次非常简单的so层小逆向，适合小白入门

发表于: 2020-8-3 15:58 17142

[原创]记录一次非常简单的so层小逆向，适合小白入门

一颗金柚子

2020-8-3 15:58

17142

题目要求：找出flag

0x01 前景

一个经过360加固了的APK，我们先用FART脱壳

脱壳带走，分析test

Native化，准备干libso

0x02 操作

==================================开始操作===================================

首先查看init.array部分，它的运行时机真的很早。

窥探一下这里的两个内容：第一个函数.datadiv是异或解密【双击进去后分析逻辑得到】

第二个byte_8905是个被加密过的字节

我们接着看JNI_OnLoad，可以发现只动态注册了一个函数，那我们有理由猜测是test

在动态注册时，我们通过观察IDA的.data.rel.ro需要知道方法结构体信息：

结构体包含三部分分别是：方法名、方法的签名、对应的native函数地址；

那么这里我们肯定重点看第三部分，因为要找到具体的解密函数，这时候我们需要在动态注册段对应上：

我们来验证一下：

函数名

byte_1C066：0x87, 0x96, 0x80, 0x87, 0xF3, 0, 0, 0, 0, 0

长度为4

[0]=0x87 ^ 0xF3 = 0x74 = t

[1]=0x96 ^ 0xF3 = 0x65 = e

[2]=0x80 ^ 0xF3 = 0x73 = s

[3]=0x87 ^ 0xF3 = 0x74 = t

合成得：test

所以这是test函数名

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

2.apk （2.44MB，208次下载）

收藏・35

免费・4

支持

最新回复 (17)
Lateautumn4 雪币： 482 活跃值： (1007) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 33 粉丝 15 关注私信	Lateautumn4 2 楼感恩大佬！ 2020-8-3 23:31 1
whitehack 雪币： 5065 活跃值： (2831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	whitehack 3 楼一丁点都看不懂的路过..... 2020-8-5 10:47 1
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 4 楼怎么看.init_array 2020-8-5 11:41 0
eastmaster 雪币： 614 活跃值： (883) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 154 粉丝 3 关注私信	eastmaster 5 楼感觉这个有点取巧，如果比对不是strcmp呢？如果用memcmp, 或者干脆就逐字节比对呢？ 2020-8-5 15:49 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 6 楼疯子Tear 怎么看.init_array Shift + F7 ，找到 .init_array 双击进去，是一个函数表（数组），一个个看就行最后于 2020-8-5 18:00 被Black貓①呺编辑，原因： 2020-8-5 18:00 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 7 楼 Black貓①呺疯子Tear 怎么看.init_array Shift + F7 ，找到 .init_a ... 没有怎么办 2020-8-9 09:43 0
乔瑞雪币： 196 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	乔瑞 8 楼想请问下函数名怎么算的。看的一脸懵逼。 2020-8-9 13:04 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 9 楼疯子Tear 没有怎么办没有就直接关注 JNI_OnLoad 鲁 2020-8-10 09:28 0
烟鬼雪币： 360 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	烟鬼 10 楼样板呢新手想尝试一下 2020-8-11 18:33 0
Dyingchen 雪币： 3149 活跃值： (5131) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 11 楼能出这个app分析jni onload逻辑流程的教学吗 2020-8-11 23:37 0
wx_玥影雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	wx_玥影 12 楼想请问下函数名怎么算的 2021-1-27 10:00 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 13 楼 0x74为什么等于ｔ呢 2021-6-20 12:05 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 14 楼 Black貓①呺没有就直接关注 JNI_OnLoad 鲁他这个函数名咋推算的 2021-6-20 18:04 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 15 楼支持一下 2021-6-21 02:21 0
给我快乐雪币： 235 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	给我快乐 16 楼疯子Tear 0x74为什么等于ｔ呢[em_7] 个ascii码表一对照就是了 2021-6-21 08:29 0
feng504x 雪币： 583 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	feng504x 17 楼样板呢 2021-7-12 00:19 0
过林黑马雪币： 996 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	过林黑马 18 楼一点没看懂 2021-7-13 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

一颗金柚子

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Lateautumn4 雪币： 482 活跃值： (1007) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 33 粉丝 15 关注私信	Lateautumn4 2 楼感恩大佬！ 2020-8-3 23:31 1
whitehack 雪币： 5065 活跃值： (2831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	whitehack 3 楼一丁点都看不懂的路过..... 2020-8-5 10:47 1
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 4 楼怎么看.init_array 2020-8-5 11:41 0
eastmaster 雪币： 614 活跃值： (883) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 154 粉丝 3 关注私信	eastmaster 5 楼感觉这个有点取巧，如果比对不是strcmp呢？如果用memcmp, 或者干脆就逐字节比对呢？ 2020-8-5 15:49 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 6 楼疯子Tear 怎么看.init_array Shift + F7 ，找到 .init_array 双击进去，是一个函数表（数组），一个个看就行最后于 2020-8-5 18:00 被Black貓①呺编辑，原因： 2020-8-5 18:00 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 7 楼 Black貓①呺疯子Tear 怎么看.init_array Shift + F7 ，找到 .init_a ... 没有怎么办 2020-8-9 09:43 0
乔瑞雪币： 196 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	乔瑞 8 楼想请问下函数名怎么算的。看的一脸懵逼。 2020-8-9 13:04 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 9 楼疯子Tear 没有怎么办没有就直接关注 JNI_OnLoad 鲁 2020-8-10 09:28 0
烟鬼雪币： 360 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	烟鬼 10 楼样板呢新手想尝试一下 2020-8-11 18:33 0
Dyingchen 雪币： 3149 活跃值： (5131) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 11 楼能出这个app分析jni onload逻辑流程的教学吗 2020-8-11 23:37 0
wx_玥影雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	wx_玥影 12 楼想请问下函数名怎么算的 2021-1-27 10:00 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 13 楼 0x74为什么等于ｔ呢 2021-6-20 12:05 0
疯子Tear 雪币： 3212 活跃值： (743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 14 楼 Black貓①呺没有就直接关注 JNI_OnLoad 鲁他这个函数名咋推算的 2021-6-20 18:04 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 15 楼支持一下 2021-6-21 02:21 0
给我快乐雪币： 235 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	给我快乐 16 楼疯子Tear 0x74为什么等于ｔ呢[em_7] 个ascii码表一对照就是了 2021-6-21 08:29 0
feng504x 雪币： 583 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	feng504x 17 楼样板呢 2021-7-12 00:19 0
过林黑马雪币： 996 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	过林黑马 18 楼一点没看懂 2021-7-13 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复