[原创]分析一下梆x加固-Android安全-看雪安全社区

[原创]分析一下梆x加固

发表于: 2021-3-2 20:11 23581

[原创]分析一下梆x加固

GitRoy

2021-3-2 20:11

23581

这个样本是年初自己拿到官网去加固，回来没有直接dump就直接分析了。可能是我的demo代码太少了就一句log.结果，分析了几天，发现这个样本没抽取。。。。但是还是简单记录一下，感兴趣的小伙伴可以看看。文章中若有出错的地方，请大佬们指正，然后由于是没抽取的版本，可能有些校验之类的没有调试到，还请多多包涵.

图片描述
Java层先定位Application

图片描述

so层看一下

图片描述

调试了一段时间，发现和upx特征很相似，所以也按upx的通用方法进行脱壳，下面是修复so的方法。

断点:0xA38F0（mprotect）

图片描述
进行dump被压缩的segment。，第一个就是起始地址，第二个参数为被压缩的segment原大小。根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。

修复流程基本是固定的，主要就是把解压缩后的内容，填充回去，这边篇幅原因，修复之前已经写过了，就直接已资源的形式放到文章末尾了。。关于最后函数的真实地址，可以直接断点linker执行init的时机（脚本里面有），F7后面就是原来so init函数的真实地址，可以选择性的修复回去。
图片描述

图片描述

idapython也会在文章末尾给出。注:目前脚本中的偏移地址都是根据Android6.0.1来的

init_array在修复后so的偏移sub_E4E8

经过一段时间分析，没发现特别重要的，主要是做了一些初始化，比如libc中相关函数的初始化.....

图片描述

UPX修复好之后，JNI_ONLOAD已经暴露出来了，看一下代码执行流程图

图片描述

比较明显，加了不是很复杂的ollvm，IDA 7.5 F5后可以看到大致代码的逻辑，就是很多控制流平坦化，调试的时候比较耗时间。

字符串基本都是加密的，不过到时候用我的idb，已经都标注好了

图片描述

这个阶段主要是做初始化，例如初始化一些后面常用libc函数的地址，初始化一些后面会用到的私有目录、sdcard目录等等......，和一些兼容性的处理(根据不同的机型，不同的Android版本号).
图片描述

第二阶段是比较重要的一个阶段，主要做了一些动态注册Java层函数，与dex的初始化(包括拷贝assets，以及load到内存)，hook一些系统函数的操作，下面详细介绍一下这个流程. 主要偏移从0x1EA1C开始。

注册基本都在sub_126BC函数中:
图片描述

注册函数详情:
图片描述
有个单独注册的函数

图片描述

定位偏移0x1F1F0
图片描述

上面进行一系列校验后，下面就开始走copy流程了

图片描述

文件本地落地
图片描述
执行好后，可以看到私有目录多了文件

Hook API实现在pECFD6C6E0567ABA6034040D903F38908这个函数中

主要对libc、libart进行了hook

例如:sub_33B08函数中libart下的hook:3art15DexFileVerifier6Verify、3art7DexFile10OpenMemory等
图片描述

sub_392E8函数中主要是libc相关的hook: write、read、mmap、munmap等

图片描述

定位函数sub_15928
先构造path
图片描述

JNI调用java层加载dex

图片描述

java层的实现
图片描述

加载后可以看到，dex已经到内存中了
图片描述
其实后面还有一些流程，但是一看没有抽取，发现自己这个版本不太对劲，瞬间没有动力分析下去了。

由于没抽取，所以脱壳还是比较简单，这里说一句，本身用来加载的dex的落地文件是不规则的，个人猜测是通过fread和fwrite进行解密的，但是没去验证.

执行完sub_15928之后，对maps下classes.jar的地址进行dump就可以了。

图片描述

sub_17218:签名校验

登录后可查看完整内容

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

最后于 2021-3-10 10:47 被GitRoy编辑，原因：修正一个错误

#脱壳反混淆

上传的附件：

upx修复.pdf （988.83kb，349次下载）
IDA脚本.zip （41.86kb，187次下载）
test.apk （3.29MB，194次下载）
libSecShell_fix.so.zip （3.54MB，164次下载）

收藏・73

免费・21

打赏

赞赏记录

参与人

雪币

留言

时间

trackL

你的帖子非常有用，感谢分享！

2025-3-18 21:40

sinker_

感谢你的积极参与，期待更多精彩内容！

2025-3-1 13:22

嫉妒的死远点

感谢你的贡献，论坛因你而更加精彩！

2024-11-8 04:13

Ally Switch

为你点赞~

2024-4-25 14:22

freenow

为你点赞~

2023-12-23 16:18

哆啦噩梦

为你点赞~

2023-6-12 10:35

夏男人

为你点赞~

2023-1-15 14:22

PLEBFE

为你点赞~

2022-7-27 01:10

心游尘世外

为你点赞~

2022-7-26 23:00

飘零丶

为你点赞~

2022-7-17 02:31

v0id_

为你点赞~

2022-4-23 14:59

AEVE

为你点赞~

2021-7-20 10:14

mofelix

为你点赞~

2021-4-6 22:25

快乐鸡哥

为你点赞~

2021-3-9 17:46

GitRoy

为你点赞~

2021-3-3 19:39

幼稚园小朋友

为你点赞~

2021-3-3 14:40

北冥鱼丶

为你点赞~

2021-3-3 11:32

0x指纹

为你点赞~

2021-3-3 11:11

Macia

为你点赞~

2021-3-3 11:05

cqkyn

为你点赞~

2021-3-3 08:02

wmsuper

为你点赞~

2021-3-2 21:35

最新回复 (24)
zhighest 雪币： 7830 活跃值： (6964) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 2 楼 2021-3-2 20:20 0
LowRebSwrd 雪币： 6553 活跃值： (4158) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 189 粉丝 188 关注私信	LowRebSwrd 4 3 楼 2021-3-3 10:33 0
mb_vppdbisf 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vppdbisf 4 楼厉害 2021-3-3 11:36 0
幼稚园小朋友雪币： 1128 活跃值： (902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	幼稚园小朋友 5 楼强 2021-3-3 14:40 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 6 楼梆梆加固？还有一个是dexhelper.so? 2021-3-3 15:50 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 7 楼 tDasm 梆梆加固？还有一个是dexhelper.so? 我记得之前是有的。但是最近加的都没有了。。。可能是我的demo比较短小的原因？ 2021-3-3 15:59 0
v0id_ 雪币： 8649 活跃值： (5396) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 36 关注私信	v0id_ 8 楼 mark 2021-3-3 20:48 0
heeeeen 雪币： 201 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heeeeen 9 楼厉害厉害！感谢分享 2021-3-4 09:55 0
程IT龙雪币： 4 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	程IT龙 10 楼官网的免费版本的加固么？ 2021-3-4 14:32 0
lhxdiao 雪币： 2154 活跃值： (4033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 123 关注私信	lhxdiao 11 楼很好的分析，基本点都有了 2021-3-4 14:55 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 12 楼是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。 2021-3-4 17:26 0
koflfy 雪币： 102 活跃值： (3731) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 460 粉丝 5 关注私信	koflfy 1 13 楼感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。 0xA38F0（mprotect）断下来后，第一个参数是起始地址，第二个参数是大小，第三个是要修改的属性吧。我看PDF文件里也是这样说的。楼主可有微信或者QQ之类的联系方式么，如果不嫌麻烦的话，我想加你详细请教一下。最后于 2021-3-9 21:05 被koflfy编辑，原因： 2021-3-9 21:03 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 14 楼 koflfy 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和 ... 好，我改一下。写错了 2021-3-10 10:44 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 15 楼 GitRoy 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。网上找了一个最新dexhelper加固的壳 d45K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7s2m8Q4x3X3g2E0K9g2)9J5k6h3y4G2L8g2)9J5c8X3c8W2N6r3q4A6L8s2y4Q4x3@1k6A6k6q4)9K6c8r3y4G2L8g2)9J5k6h3S2F1i4K6u0W2j5$3q4@1N6W2)9J5y4X3q4E0M7q4)9K6b7Y4u0W2k6W2)9K6c8s2y4W2j5i4u0U0K9l9`.`. 2021-3-24 15:28 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 16 楼 tDasm 网上找了一个最新dexhelper加固的壳 036K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7s2m8Q4x3X3g2E0K9g2)9J5k6h3y4G2L8g2)9J5c8X3c8W2N6r3q4A6L8s2y4Q4x3@1k6A6k6q4)9K6c8r3y4G2L8g2)9J5k6h3S2F1i4K6u0W2j5$3q4@1N6W2)9J5y4X3q4E0M7q4)9K6b7Y4u0W2k6W2)9K6c8s2y4W2j5i4u0U0K9l9`.`. 好的老哥，安排。 2021-3-24 20:41 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 17 楼遇到了，感谢 2021-4-1 15:14 0
独钓天台雪币： 1348 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	独钓天台 18 楼学习了，感谢楼主 2021-4-1 19:31 0
xiaozhu头雪币： 159 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 1 关注私信	xiaozhu头 19 楼 "init_array在修复后so的偏移sub_E4E8" 这个是怎么的出来的。。 2021-4-18 00:10 1
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 20 楼断点linker执行initarray的时机 2021-4-18 02:54 1
万里星河雪币： 266 活跃值： (2261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 598 粉丝 8 关注私信	万里星河 21 楼支持一下 2021-4-18 08:06 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 22 楼 GitRoy 好的老哥，安排。搞定了？ 2021-7-20 10:00 0
method 雪币： 1640 活跃值： (7508) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 221 粉丝 133 关注私信	method 1 23 楼请问老哥 ”ITE指令做一些特殊的处理“ 具体是什么处理 2023-5-11 11:33 0
ms小伍雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ms小伍 24 楼支持一下 2023-5-12 10:43 0
找到组织了雪币： 1212 活跃值： (602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	找到组织了 25 楼 111 2026-1-13 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

GitRoy

发帖

147

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
zhighest 雪币： 7830 活跃值： (6964) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 2 楼 2021-3-2 20:20 0
LowRebSwrd 雪币： 6553 活跃值： (4158) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 189 粉丝 188 关注私信	LowRebSwrd 4 3 楼 2021-3-3 10:33 0
mb_vppdbisf 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vppdbisf 4 楼厉害 2021-3-3 11:36 0
幼稚园小朋友雪币： 1128 活跃值： (902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	幼稚园小朋友 5 楼强 2021-3-3 14:40 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 6 楼梆梆加固？还有一个是dexhelper.so? 2021-3-3 15:50 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 7 楼 tDasm 梆梆加固？还有一个是dexhelper.so? 我记得之前是有的。但是最近加的都没有了。。。可能是我的demo比较短小的原因？ 2021-3-3 15:59 0
v0id_ 雪币： 8649 活跃值： (5396) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 36 关注私信	v0id_ 8 楼 mark 2021-3-3 20:48 0
heeeeen 雪币： 201 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heeeeen 9 楼厉害厉害！感谢分享 2021-3-4 09:55 0
程IT龙雪币： 4 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	程IT龙 10 楼官网的免费版本的加固么？ 2021-3-4 14:32 0
lhxdiao 雪币： 2154 活跃值： (4033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 123 关注私信	lhxdiao 11 楼很好的分析，基本点都有了 2021-3-4 14:55 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 12 楼是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。 2021-3-4 17:26 0
koflfy 雪币： 102 活跃值： (3731) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 460 粉丝 5 关注私信	koflfy 1 13 楼感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。 0xA38F0（mprotect）断下来后，第一个参数是起始地址，第二个参数是大小，第三个是要修改的属性吧。我看PDF文件里也是这样说的。楼主可有微信或者QQ之类的联系方式么，如果不嫌麻烦的话，我想加你详细请教一下。最后于 2021-3-9 21:05 被koflfy编辑，原因： 2021-3-9 21:03 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 14 楼 koflfy 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和 ... 好，我改一下。写错了 2021-3-10 10:44 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 15 楼 GitRoy 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。网上找了一个最新dexhelper加固的壳 d45K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7s2m8Q4x3X3g2E0K9g2)9J5k6h3y4G2L8g2)9J5c8X3c8W2N6r3q4A6L8s2y4Q4x3@1k6A6k6q4)9K6c8r3y4G2L8g2)9J5k6h3S2F1i4K6u0W2j5$3q4@1N6W2)9J5y4X3q4E0M7q4)9K6b7Y4u0W2k6W2)9K6c8s2y4W2j5i4u0U0K9l9`.`. 2021-3-24 15:28 0
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 16 楼 tDasm 网上找了一个最新dexhelper加固的壳 036K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7s2m8Q4x3X3g2E0K9g2)9J5k6h3y4G2L8g2)9J5c8X3c8W2N6r3q4A6L8s2y4Q4x3@1k6A6k6q4)9K6c8r3y4G2L8g2)9J5k6h3S2F1i4K6u0W2j5$3q4@1N6W2)9J5y4X3q4E0M7q4)9K6b7Y4u0W2k6W2)9K6c8s2y4W2j5i4u0U0K9l9`.`. 好的老哥，安排。 2021-3-24 20:41 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 17 楼遇到了，感谢 2021-4-1 15:14 0
独钓天台雪币： 1348 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	独钓天台 18 楼学习了，感谢楼主 2021-4-1 19:31 0
xiaozhu头雪币： 159 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 1 关注私信	xiaozhu头 19 楼 "init_array在修复后so的偏移sub_E4E8" 这个是怎么的出来的。。 2021-4-18 00:10 1
GitRoy 雪币： 5308 活跃值： (5785) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 147 粉丝 188 关注私信	GitRoy 3 20 楼断点linker执行initarray的时机 2021-4-18 02:54 1
万里星河雪币： 266 活跃值： (2261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 598 粉丝 8 关注私信	万里星河 21 楼支持一下 2021-4-18 08:06 0
tDasm 雪币： 17692 活跃值： (9018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 710 粉丝 23 关注私信	tDasm 22 楼 GitRoy 好的老哥，安排。搞定了？ 2021-7-20 10:00 0
method 雪币： 1640 活跃值： (7508) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 221 粉丝 133 关注私信	method 1 23 楼请问老哥 ”ITE指令做一些特殊的处理“ 具体是什么处理 2023-5-11 11:33 0
ms小伍雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ms小伍 24 楼支持一下 2023-5-12 10:43 0
找到组织了雪币： 1212 活跃值： (602) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	找到组织了 25 楼 111 2026-1-13 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复