本次逆向分析用到的工具：adb、ida、010Editor、ddms。

这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。

先检测一下设备是否正常

adb devices

然后解压apk文件，提取出lib目录下的libnet_crypto.so文件

armeabi-v7a对应的是32位的ARM设备，调试使用IDA，不要用IDA64

so文件挺大的，编译需要等待一会，看一下字符串，基本都是混淆加密的

接下来，分析一下JNI_onload

先看一下JNI_onload流程，不是很复杂

在F5或者空格查看伪代码，代码没什么混淆

修改参数,静态分析方法

右键选择set lvar type或y修改参数类型

)

在下面GetEnv处 选择Force call type识别一下类型

v4是JNIenv * 也修改一下

)

下面 FindClass和Registernatives也一下，识别一下类型

点进去查看，没有native方法的对应关系，第一个参数是java层native的方法名称，第二个参数是java层native的签名信息，第三个参数才是对应的c\c++的参数

)

根据上面静态分析遇到的问题，接下来的想法是恢复被ollvm加密混淆的字符串信息

打开010Editor，将so文件和elf头文件拖进去

主要分析数据区域

第一个是程序头，不是关注的，第二个和第三个是关注重点，第二个是只读的，那么根据so文件对字符串进行加解密可以判断ida编译出的混淆字符串属于第三个区域

这部分区域是被加密处理的

)

那对于这个so的还原，就需要dump出解密后的数据，将数据复制到原加密数据位置，完成对字符串解密。

dump的位置可能在JNI_onload 、 init 、 init_aray

ida 附加一下进程，看一下so文件是否被加载

先进行一下android端的配置

找到ida的android_server

)

将ida的android_server发送到android

)

执行android_server

转发端口

)

附加端口，这里先要启动apk

Debugger-> Attach -> Remote ARmlinux\Android debugger

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课