写在前面

这是在面试启明X辰时，公司要求分析的 CreakMe，这里做一份记录。

样本分析报告

样本信息

分析目标

1. 分析密码生成(generate1)过程以及check校验过程。
2. 分析密码生成(generate2)过程以及check校验过程。
3. 分析密码生成(generate3)过程以及check校验过程。
4. 总结在分析过程中哪些难题, 最后通过什么方式解决的。

信息整理

整理一下各个按钮的 id 与对应的linstener

按钮 generate1

1. 分析linstener g，其主要就是第16行的内容的 MainActivity.this.G 方法和 com.test.pac.demo.a.a.a 方法

1. 分析方法 G

1. 分析方法 com.test.pac.demo.a.a.a()，这个方法较为简单，就是取绝对值后转成16进制，然后再拼接成新的字符串

1. 总结一下，generate1按钮绑定 linstener g()，随机生成16个字节，将该16个字节 AES 加密，随后随机数再与密文重新组合一下：bArr3 = bArr2[8-15] + aes(明文) + bArr2[0-7]，最后将每个字节取绝对值并转为16进制字符，输出到屏幕。

按钮 check1

1. 分析linstener d，可以轻易判断出 obj 为 username，obj2 为 password，需要重点分析的就是第15行的内容的 com.test.pac.demo.a.a.b 方法和 MainActivity.this.D 方法

1. 分析方法 com.test.pac.demo.a.a.b

这个方法起初看起来有点复杂，一直以为是个加密的方法，但仔细观察，这其实就是个十六进制字符串转十进制的方法，将传入的十六进制字符串转换成了对应的十进制字节数组

1. 分析方法 MainActivity.this.D

方法D 由两个方法组成，分别是方法F 和方法E，而方法D只是简单的判断方法E的返回值真假

1. 分析方法F

根据之前分析过的方法G，其实可以直接判断这显然是方法G的逆运算，也就是AES的解密方法，该方法返回了解密后的明文字节数组

1. 分析方法E，其实都可以直接猜出来，E方法一定是在比较解密出来的明文和从控件获得的password

1. 总结一下，check1 按钮完全就是 generate1的逆向操作，只要是 generate1 设置的 password，check1 是必然成功的。

按钮 generate2

按钮 generate2的分析较为困难，主要问题在于 OpenSSL 库函数较为生疏，而OpenSSL的所以这里先补充一下本次分析中遇到的数据结构和函数知识。

OpenSSL常见数据结构与函数

分析函数 MainActivity_M1

这个函数较为简单，通过函数 sub_46660 向 dest 中写入数据，回传到屏幕作为密码

分析函数 sub_46660

这个函数就是 generate2 按钮的主体逻辑了，首先将该函数分为四个部分依次分析：

• hmac_ctx_hash （函数一）
• evp_encrypt（函数二）
• 二次加密 encrypt_data （函数三）
• encrypt_4 （函数四）

分析函数 hmac_ctx_hash（部分一）

这个函数总的来讲就是不断的将求得的hash作为key再次求hash，在分析这个函数时遇到的问题主要在于作者使用了 HMAC_Update 并且还总是在参数中不该传0的传0，无法确定是否对上下文产生了影响，解决方法是花了一些时间在 VS 中搭了一下环境，写了一个简单的 demo 进行简单的测试。

测试demo

分析函数 evp_encrypt（部分二）

这个函数的总的来说就是使用上一层传入的 hash 作为 key，加密用户名得到 encrypt_data，然后将 encrypt_data分段赋值给最终的 res_encrypt_data，分析这个函数的问题也还是在于作者使用了 EVP_EncryptUpdate 这个不熟悉的函数，并且还总是在参数中不该传0的传0，无法确定是否对上下文产生了影响，解决方法是花了一些时间在 VS 中搭了一下环境，测试了各种情况的结果。

测试demo

二次加密 encrypt_data（部分三）

这一部分主要就是通过 hash 第二次加密 encrypt_data 得到 encrypt_data2

分析函数 encrypt_4（部分四）

这个函数主要分为三个部分：

• 初始化数组 v21、v22，需要注意的是 v21 与 v22 在内存中相邻

  1 2 3 4 5 6 7 8 9 10 11 12 13 14

  _BYTE v21[256]; // [esp+10h] [ebp-21Ch] BYREF _BYTE v22[264]; // [esp+110h] [ebp-11Ch] BYREF unsigned int v23; // [esp+218h] [ebp-14h]   v23 = __readgsdword(0x14u); memcpy(dest, hash_temp, user_name_length_add_80);//注意此时dest被赋值为hash_temp.最后一步的化简会用到 memset(v22, 0, 256); memset(v21, 0, sizeof(v21)); for ( i = 0; i != 256; ++i ) {   v21[i] = i;                                 // v21 依次赋值 1 2 3 4 5 6 ...   v22[i] = v39[i % c_16];                     // v22 依次填充 0，因为v39全是0 } v_dest = dest;

• 第一次循环加密

  1 2 3 4 5 6 7 8 9 10 11 12 13 14

  v6 = dest; v7 = 0; v8 = -256; do {   v9 = (unsigned __int8)v22[v8];   v10 = v9 + v7 + (unsigned __int8)v22[v8 + 256];   v10 %= 256;   v11 = v21[v10];   v21[v10] = v9;   v22[v8++] = v11;   v7 = v10; } while ( v8 );

  这个循环的赋值有点混乱，利用两个相邻的数组越界赋值，所以这里我们先进行一个初步整理

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

  unsigned char v21[256] = {0};   for (int i = 0; i < 256; i++)     v21[i] = i;   int v7 = 0; int v8 = 0; int v9 = 0; int v10 = 0; char v11 = 0;   for (int i = 0; i < 256; i++) {     v9 = v21[i];     v10 = v9 + v7;     v10 %= 256;     v11 = v21[v10];     v21[v10] = v9;     v21[i] = v11;     v7 = v10; }

  这样看依然不是很清晰，所以进一步整理：

  这时可以看出是 v10 每次加上v21[i]，避免v10作为下标时越界又与256取余，随后利用一个中间变量交换v21[v10]和v21[i]的值，实际上这一部分的结果是固定的。

  1 2 3 4 5 6 7 8 9

  int v_tmp = 0; for (int i = 0; i < 256; i++) {     v10 += v21[i];     v10 %= 256;     v_tmp = v21[v10];     v21[v10] = v21[i];     v21[i] = v_tmp; }

• 第二次循环加密

  整个循环中不好分析的难点在于 v15 = v12 + 1 - ((v12 + ((unsigned int)((v12 + 1) >> 31) >> 24) + 1) & 0xFFFFFF00);

  这里做下该语句的简要分析：

  (v12+1)>>31 因为v12是有符号类型，也就是说该结果不是0就是0xffffffff, 关键在于v12的最高位判断

  而 v12 的值来自于 v15，纵观整个循环 v15 又来自 v12，看似互相套娃但由于v15和v12的初值都为0

  所以在循环量较小的时候 v12 的高位必然为0，所以 ((v12 + ((unsigned int)((v12 + 1) >> 31) >> 24) + 1) & 0xFFFFFF00) = 0

  那么看似复杂的第一行代码可以直接简化为 v15 = v12 + 1

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

  v12 = 0; v13 = 0; v14 = user_name_length_add_80; do {   v15 = v12 + 1 - ((v12 + ((unsigned int)((v12 + 1) >> 31) >> 24) + 1) & 0xFFFFFF00);   v16 = (unsigned __int8)v21[v15];   v13 = (v16 + v13) % 256;   v17 = v14;   v18 = v21[v13];   v21[v13] = v16;   v21[v15] = v18;   *v_dest++ ^= v21[(unsigned __int8)(v21[v13] + v18)];   v14 = v17 - 1;   v19 = v17 == 1;   v12 = v15; }

  随后将代码进一步进行化简，执行流程就更为清晰

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

  char tmp = 0; do {     //取出 v13 和 v15，v13 += v21[v15]，为避免越界v13作为下标越界，模256取余数     v15++;     v13 = (v21[v15] + v13) % 256;       // 交换 v21[13] 和 v21[15]     tmp = v21[v13];     v21[v13] = v21[v15];     v21[v15] = tmp;       // v21[13]+v21[15] 作为下标id，为避免越界，类型强转为unsigned char使其不超过255     // *hash_temp ^= v21[id]; hash_temp++;     *hash_temp++ ^= v21[(unsigned char)(v21[v13] + v21[v15])];       //v14是 user_name_length_add_80 = 0x60     v14--; } while (v14!=0);

函数 sub_46660 总结

• 生成一串随机数作为明文和key
• 调用函数 hmac_ctx_hash 得到随机明文的 hash
• 调用函数 evp_encrypt 以上一步的 hash 作为 key，得到 user_name 的密文
• 对用户名长度做了一些校验，跳过了一堆 SSE 指令（感谢手下留情）
• 通过 hash 第二次加密 encrypt_data 得到 encrypt_data2
• 调用函数 encrypt_4 第三次加密，得到最终的 dest
• dest 即为回传至屏幕的 password

按钮 check2

由于已经详细的分析了 generate2， 简单观察便可知check2只是其流程的逆运算，这里附上一些分析代码片段：

代码片段1

代码片段2

代码片段3

代码片段4

check2 按钮总结

分析完 check2 按钮后，发现相比较 generate2 缺少一个流程，那就是求用户名 hash 作为key，于是回溯了一下这个 key，通过追溯发现，这个 key 已经通过两个异或加密函数加密在了 password 中，只需要将其逆运算取出来即可使用。

初始化函数 _init

在分析按钮 generate3 时很多数据静态分析时并不存在，所以这里还需要分析 _init 函数，该函数地址并没有被 IDA 分析出来，可以通过以下两个办法找到：

• 使用 readelf 工具查看

  .\readelf.exe -d C:\Users\Administrator\Desktop\libnative-lib.so
  

• 使用 IDA 动态调试，在被写入数据的地址下内存写入断点

分析函数 sub_41BA0

这个函数就是 _init 函数，其主要分为三个函数，分别是 set_buff1、 set_buff2、 set_buff3

分析函数 set_buff1

这个函数首先将 19ca9c + image_base 存到 buff1_60[0-3] 中，根据后面的分析结果这里存的是一个函数地址，之后在 buff1_60[28-43] 中填入了一些随机数，随后调用了 sub_48840，并传入了一个字符串

分析函数 sub_48840

该函数主要是一些范围的判断，主要还是调用函数 sub_488E0，并传入了一个字符串

分析函数 sub_488E0

这里就是 buff1 真正调用的函数，作用是初始化 buff1 空间中的数据

• buff1_60_16[0-3] 存放着申请堆空间大小+1，也就是49
• buff1_60_16[4-7] 存放着字符串"3390fd362dfdda0030d5737632d3d213"的长度，也就是32
• buff1_60_16[8-11] 存放着字符串"3390fd362dfdda0030d5737632d3d213"的指针

分析函数 set_buff2

这个函数比较浅，主要就是计算随机数的 hash，然后初始化 buff2 的内存数据，结果是：

• buff2[0-3] = 19aac+imagebase
• buff2[4-19] = 0
• buff2[20-531] = const_data ^ 0x0036
• buff2[532-595] = hash

分析函数 set_buff3

基本上和 set_buff2 如出一辙，调用了一个新的函数 get_hash2，不过和之前求hash函数的也是基本一致，这里直接列出 buff3 内存布局：

• buff3[0-3] = 19ca8c + image_base（根据后面的分析，这个就是按钮 generate3 中调用的函数）
• buff3[4-67] = hash
• buff3[68-83] = 0
• buff3[84-595] = const_data ^ 0x0042

初始化函数总结

按钮 generate3

可以轻易发现，主要是调用了 MainActivity.this.getbt 方法

分析函数 MainActivity_getbt

这里的 fun3 就是 buff3 的前四个字节指向的地址（19ca8c + image_base），整个按钮 generate3 的真正核心逻辑自此真正展开

分析函数 fun3

函数 fun3 的大致逻辑如下：

• 通过循环异或位运算计算 buff3 中的数据得到 第一次的 hash1
• 通过 username 与 常数计算出一个32字节的 key
• 使用 key 计算 hash1 的hash 得到 hash2
• 循环异或位运算计算key 的 hash 得到 hash3
• 调用函数 sub_425F0 得到一段数据
• 调用函数 sub_43070 修改内存数据并得到一个影响密码长度的值
• 不断变换交换上面得到的数据，最终将数据拷贝到 password
• 返回password长度

分析函数 sub_425F0

主要功能为设置 dest 区域的内存数据

分析函数 sub_43070

主要功能为设置 src 区域的内存数据，并返回一个影响密码长度的值，另外我记着在分析这个函数的时候遇到了阻碍 IDA 分析的一连串 nop，我的解决方法是把 nop 改为 mov eax, eax ，然后依次使用快捷键 u 、c、p、f5，重新识别。

分析函数 get_hash3_and_change_fun3

这个函数总的来讲就是不断的修改 fun3 区域内的数据并最后计算出了一个 hash

分析函数 sub_43990

这个函数主要就是在一个循环中通过一系列的变换，不断的在修改 src 中的数据

generate3 按钮总结

利用启动应用时初始化的数据，不断的求 hash、加密、更新数据区的内容，最终计算出 password

按钮 check3

可以轻易发现，主要是调用了 MainActivity.this.getck 方法，通过其返回值判断成功失败

分析函数 MainActivity_getck

可以发现主要就是在调用函数 dword_1A50BC[0] + 4 而这个地址其实就是在 _init 初始化的 [19ca8c + image_base]+4（函数sub_43280）

分析函数 sub_43280

这个函数是解密的核心函数，这里总结一下流程：

• 依次按照加密的流程逆向运算对 password 进行解密
• 调用了一个加密过程中未出现过的函数 sub_43860 加密password
• 调用函数 sub_424E0 解密 password
• 函数 sub_424E0 解密失败，返回0

分析函数 sub_43860

没有找到这个函数对应的加密流程，应该是导致解密失败的主要原因

分析函数 sub_424E0

EVP_DecryptFinal_ex 解密失败，这里我查阅了一下 openssl 源码，结合动态调试返回的地方，对应在 EVP_R_INVALID_OPERATION 处返回，正好源码里有注释，翻译了一下是：防止解密时意外使用加密上下文。 应该是解密的数据不对导致的失败返回 0。

check3 按钮总结

和 generate3 相比，check3 的代码量少了许多，并没有像check2那样完全逆向流程解密，导致验证失败，而且我思考了一下，注册机应该是写不了的，因为最开始在 _init 函数中初始化的数据是随机的。

收获与总结

本次样本分析共历时七天，总的来讲主要集中在 OpenSSL 函数、SSE指令集的用法的细节问题，但最终经过网络搜索、动态调试和搭建实验环境调试 demo 予以解决。

参考资料

[1] OpenSSL之EVP（一）——数据结构及源码结构介绍

https://blog.csdn.net/scuyxi/article/details/60365001

[2] OpenSSL学习之一：HMAC算法分析

https://blog.csdn.net/KXue0703/article/details/120795546

[3] SSE指令集优化学习：双线性插值

https://blog.csdn.net/djzhao/article/details/78408198

[4] OpenSSL中文手册之EVP库详解

https://blog.csdn.net/liao20081228/article/details/76285896

[5] Intel白皮书SSE2相关指令查询

https://software.intel.com/sites/landingpage/IntrinsicsGuide/#techs=SSE2&text=_mm_cmpeq_epi32&expand=773

最后附上样本
http://gofile.me/6J4EF/mzW5XxJtC

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课