[原创]分析一下梆x加固-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]分析一下梆x加固

2021-3-2 20:11 18993

[原创]分析一下梆x加固

GitRoy

2021-3-2 20:11

18993

梆x加固分析

前言

这个样本是年初自己拿到官网去加固，回来没有直接dump就直接分析了。可能是我的demo代码太少了就一句log.结果，分析了几天，发现这个样本没抽取。。。。但是还是简单记录一下，感兴趣的小伙伴可以看看。文章中若有出错的地方，请大佬们指正，然后由于是没抽取的版本，可能有些校验之类的没有调试到，还请多多包涵.

0x0 对样本进行简单分析

图片描述
Java层先定位Application

图片描述

so层看一下

图片描述

调试了一段时间，发现和upx特征很相似，所以也按upx的通用方法进行脱壳，下面是修复so的方法。

0x1 so脱壳与修复

获取解压缩后的segment数据

断点:0xA38F0（mprotect）

图片描述
进行dump被压缩的segment。，第一个就是起始地址，第二个参数为被压缩的segment原大小。根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。

本地修复

修复流程基本是固定的，主要就是把解压缩后的内容，填充回去，这边篇幅原因，修复之前已经写过了，就直接已资源的形式放到文章末尾了。。关于最后函数的真实地址，可以直接断点linker执行init的时机（脚本里面有），F7后面就是原来so init函数的真实地址，可以选择性的修复回去。
图片描述

修复后

图片描述

0x2 搭建一个调试环境

我这里大概开2个IDA，一个用来打开修复后的so记录日志，另一个用来动态调试.
由于修复后的so没办法直接运行，所以只能直接动态调试原包，每次定位init_array
快速定位上一次调试的地址
对ITE指令做一些特殊的处理

idapython也会在文章末尾给出。注:目前脚本中的偏移地址都是根据Android6.0.1来的

0x3 init_array

init_array在修复后so的偏移sub_E4E8

经过一段时间分析，没发现特别重要的，主要是做了一些初始化，比如libc中相关函数的初始化.....

图片描述

0x4 JNI_ONLOAD

简介

UPX修复好之后，JNI_ONLOAD已经暴露出来了，看一下代码执行流程图

图片描述

比较明显，加了不是很复杂的ollvm，IDA 7.5 F5后可以看到大致代码的逻辑，就是很多控制流平坦化，调试的时候比较耗时间。

字符串基本都是加密的，不过到时候用我的idb，已经都标注好了

图片描述

第一阶段

这个阶段主要是做初始化，例如初始化一些后面常用libc函数的地址，初始化一些后面会用到的私有目录、sdcard目录等等......，和一些兼容性的处理(根据不同的机型，不同的Android版本号).
图片描述

第二阶段

第二阶段是比较重要的一个阶段，主要做了一些动态注册Java层函数，与dex的初始化(包括拷贝assets，以及load到内存)，hook一些系统函数的操作，下面详细介绍一下这个流程. 主要偏移从0x1EA1C开始。

注册Java层的native函数

注册基本都在sub_126BC函数中:
图片描述

注册函数详情:
图片描述
有个单独注册的函数

图片描述

操作assets目录下的资源

定位偏移0x1F1F0
图片描述

上面进行一系列校验后，下面就开始走copy流程了

图片描述

文件本地落地
图片描述
执行好后，可以看到私有目录多了文件

Hook一些函数

Hook API实现在pECFD6C6E0567ABA6034040D903F38908这个函数中

主要对libc、libart进行了hook

例如:sub_33B08函数中libart下的hook:3art15DexFileVerifier6Verify、3art7DexFile10OpenMemory等
图片描述

sub_392E8函数中主要是libc相关的hook: write、read、mmap、munmap等

图片描述

加载dex

定位函数sub_15928
先构造path
图片描述

JNI调用java层加载dex

图片描述

java层的实现
图片描述

加载后可以看到，dex已经到内存中了
图片描述
其实后面还有一些流程，但是一看没有抽取，发现自己这个版本不太对劲，瞬间没有动力分析下去了。

0x5 脱壳

由于没抽取，所以脱壳还是比较简单，这里说一句，本身用来加载的dex的落地文件是不规则的，个人猜测是通过fread和fwrite进行解密的，但是没去验证.

执行完sub_15928之后，对maps下classes.jar的地址进行dump就可以了。

图片描述

0x6 一些检测

sub_17218:签名校验

图片描述

sub_18DF4:Hook Android日志

图片描述

sub_49794:检测FART

图片描述

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2021-3-10 10:47 被GitRoy编辑，原因：修正一个错误

#脱壳反混淆

上传的附件：

upx修复.pdf （988.83kb，292次下载）
IDA脚本.zip （41.86kb，162次下载）
test.apk （3.29MB，166次下载）
libSecShell_fix.so.zip （3.54MB，146次下载）

收藏・65

点赞・17

打赏

最新回复 (23)
zhighest 雪币： 7176 活跃值： (3104) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 130 粉丝 5 关注私信	zhighest 2021-3-2 20:20 2 楼 0
LowRebSwrd 雪币： 6569 活跃值： (3823) 能力值： (RANK：200 ) 在线值：发帖 9 回帖 179 粉丝 118 关注私信	LowRebSwrd 4 2021-3-3 10:33 3 楼 0
mb_vppdbisf 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vppdbisf 2021-3-3 11:36 4 楼 0 厉害
幼稚园小朋友雪币： 1119 活跃值： (892) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	幼稚园小朋友 2021-3-3 14:40 5 楼 0 强
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-3-3 15:50 6 楼 0 梆梆加固？还有一个是dexhelper.so?
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-3 15:59 7 楼 0 tDasm 梆梆加固？还有一个是dexhelper.so? 我记得之前是有的。但是最近加的都没有了。。。可能是我的demo比较短小的原因？
v0id_ 雪币： 8270 活跃值： (4786) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 245 粉丝 32 关注私信	v0id_ 2021-3-3 20:48 8 楼 0 mark
heeeeen 雪币： 201 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heeeeen 2021-3-4 09:55 9 楼 0 厉害厉害！感谢分享
程IT龙雪币： 4 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	程IT龙 2021-3-4 14:32 10 楼 0 官网的免费版本的加固么？
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 173 粉丝 110 关注私信	lhxdiao 2021-3-4 14:55 11 楼 0 很好的分析，基本点都有了
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-4 17:26 12 楼 0 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。
koflfy 雪币： 122 活跃值： (1370) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2021-3-9 21:03 13 楼 0 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。 0xA38F0（mprotect）断下来后，第一个参数是起始地址，第二个参数是大小，第三个是要修改的属性吧。我看PDF文件里也是这样说的。楼主可有微信或者QQ之类的联系方式么，如果不嫌麻烦的话，我想加你详细请教一下。最后于 2021-3-9 21:05 被koflfy编辑，原因：
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-10 10:44 14 楼 0 koflfy 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和 ... 好，我改一下。写错了
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-3-24 15:28 15 楼 0 GitRoy 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。网上找了一个最新dexhelper加固的壳 https://app.mi.com/details?id=com.hn.catv&ref=search
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-24 20:41 16 楼 0 tDasm 网上找了一个最新dexhelper加固的壳 https://app.mi.com/details?id=com.hn.catv&ref=search 好的老哥，安排。
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 2 关注私信	mb_yvvzfcdo 2021-4-1 15:14 17 楼 0 遇到了，感谢
独钓天台雪币： 1348 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	独钓天台 2021-4-1 19:31 18 楼 0 学习了，感谢楼主
xiaozhu头雪币： 159 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 1 关注私信	xiaozhu头 2021-4-18 00:10 19 楼 1 "init_array在修复后so的偏移sub_E4E8" 这个是怎么的出来的。。
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-4-18 02:54 20 楼 1 断点linker执行initarray的时机
万里星河雪币： 52 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2021-4-18 08:06 21 楼 0 支持一下
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-7-20 10:00 22 楼 0 GitRoy 好的老哥，安排。搞定了？
method 雪币： 1925 活跃值： (3628) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 2 关注私信	method 2023-5-11 11:33 23 楼 0 请问老哥 ”ITE指令做一些特殊的处理“ 具体是什么处理
ms小伍雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ms小伍 2023-5-12 10:43 24 楼 0 支持一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

GitRoy

发帖

123

回帖

170

RANK

关注

私信

他的文章

在使用edxp的时候遇到了一些问题。

[原创]分析一下X加密

[原创]分析一下乐固

[原创]分析一下梆x加固

一道算法题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
zhighest 雪币： 7176 活跃值： (3104) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 130 粉丝 5 关注私信	zhighest 2021-3-2 20:20 2 楼 0
LowRebSwrd 雪币： 6569 活跃值： (3823) 能力值： (RANK：200 ) 在线值：发帖 9 回帖 179 粉丝 118 关注私信	LowRebSwrd 4 2021-3-3 10:33 3 楼 0
mb_vppdbisf 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vppdbisf 2021-3-3 11:36 4 楼 0 厉害
幼稚园小朋友雪币： 1119 活跃值： (892) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	幼稚园小朋友 2021-3-3 14:40 5 楼 0 强
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-3-3 15:50 6 楼 0 梆梆加固？还有一个是dexhelper.so?
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-3 15:59 7 楼 0 tDasm 梆梆加固？还有一个是dexhelper.so? 我记得之前是有的。但是最近加的都没有了。。。可能是我的demo比较短小的原因？
v0id_ 雪币： 8270 活跃值： (4786) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 245 粉丝 32 关注私信	v0id_ 2021-3-3 20:48 8 楼 0 mark
heeeeen 雪币： 201 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	heeeeen 2021-3-4 09:55 9 楼 0 厉害厉害！感谢分享
程IT龙雪币： 4 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	程IT龙 2021-3-4 14:32 10 楼 0 官网的免费版本的加固么？
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 173 粉丝 110 关注私信	lhxdiao 2021-3-4 14:55 11 楼 0 很好的分析，基本点都有了
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-4 17:26 12 楼 0 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。
koflfy 雪币： 122 活跃值： (1370) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2021-3-9 21:03 13 楼 0 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和起始地址，可以dump出解压后的内容，然后本地进行修复。 0xA38F0（mprotect）断下来后，第一个参数是起始地址，第二个参数是大小，第三个是要修改的属性吧。我看PDF文件里也是这样说的。楼主可有微信或者QQ之类的联系方式么，如果不嫌麻烦的话，我想加你详细请教一下。最后于 2021-3-9 21:05 被koflfy编辑，原因：
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-10 10:44 14 楼 0 koflfy 感谢大牛分享，最近正好碰到类似的例子。有一个疑问断点:0xA38F0（mprotect）进行dump被压缩的segment。第一个参数为被压缩的segment原大小，第二个就是起始地址了，根据原大小和 ... 好，我改一下。写错了
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-3-24 15:28 15 楼 0 GitRoy 是的。不知道官网免费加固的逻辑，之前都是抽取的，结果这次加下来是这种。。网上找了一个最新dexhelper加固的壳 https://app.mi.com/details?id=com.hn.catv&ref=search
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-3-24 20:41 16 楼 0 tDasm 网上找了一个最新dexhelper加固的壳 https://app.mi.com/details?id=com.hn.catv&ref=search 好的老哥，安排。
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 2 关注私信	mb_yvvzfcdo 2021-4-1 15:14 17 楼 0 遇到了，感谢
独钓天台雪币： 1348 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	独钓天台 2021-4-1 19:31 18 楼 0 学习了，感谢楼主
xiaozhu头雪币： 159 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 1 关注私信	xiaozhu头 2021-4-18 00:10 19 楼 1 "init_array在修复后so的偏移sub_E4E8" 这个是怎么的出来的。。
GitRoy 雪币： 5348 活跃值： (5349) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 123 粉丝 166 关注私信	GitRoy 3 2021-4-18 02:54 20 楼 1 断点linker执行initarray的时机
万里星河雪币： 52 活跃值： (501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2021-4-18 08:06 21 楼 0 支持一下
tDasm 雪币： 13388 活跃值： (4728) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2021-7-20 10:00 22 楼 0 GitRoy 好的老哥，安排。搞定了？
method 雪币： 1925 活跃值： (3628) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 2 关注私信	method 2023-5-11 11:33 23 楼 0 请问老哥 ”ITE指令做一些特殊的处理“ 具体是什么处理
ms小伍雪币： 229 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ms小伍 2023-5-12 10:43 24 楼 0 支持一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复