首页
社区
课程
招聘
[原创]一步到位动态调试AliCrackme的so文件
发表于: 2023-6-28 13:47 22483

[原创]一步到位动态调试AliCrackme的so文件

2023-6-28 13:47
22483

续写文章: [原创]超级详细的实战分析一个Crackme的过程

之前分析的这个AliCrackme后总结过程有些繁琐,需要几次替换APK内文件及签名和不断需要从头重复调试才可以,这次直接在完全不动原始APK包的情况下,通过动态调试JNI_OnLoad及目标函数,直接一步到位过反调试及分析最后出Flag。

真机动态调试前一定要给APP加上可调试权限,android:debuggable="true"Android修改ro.debuggable的四种方法,推荐以下几种可长期使用的方法:

已 root 的手机修改手机系统的全局debuggable标志值为 true(即将/default.prop中的ro.debuggable的默认字段值0修改为 1),这样此手机上各种AP都可以调试了,若手机重启后需要再次进行修改操作。修改 ro.debuggable 的步骤:

图片描述
图片描述

前提:手机需要有magisk环境,可通过安装MagiskHide Props Config 模块修改(永久有效)

开源地址: https://github.com/Magisk-Modules-Repo 请下载使用 MagiskHide Props Config5.3.6版本:https://github.com/Magisk-Modules-Repo/MagiskHidePropsConf/releases/tag/v5.3.6

1.通过命令推送到手机 adb push MagiskHidePropsConf-v5.3.6.zip /sdcard/ 从Magisk→模块→本地安装→选择压缩包安装即可!
2.重启手机,手机进入adb shell模式
3.执行props
4.选择需要操作的选项,首先选择4 - Edit MagiskHide props 之后选择1- ro.debuggable
5.最后查看getprop ro.debuggable 重启手机后再次查看getprop ro.debuggable查看是否仍然为1。
接下来先需要配置IDA调试的一些环境,步骤如下:

图片描述
再开启一个 命令行 做一下端口的转发,如下图所示:
图片描述
全部执行完毕之后,可以看到正在监听这个端口,这时候我们打开 IDA 并且点击GO 然后按照下图选择所使用的
图片描述
并输入 127.0.0.1 后面的端口是默认的,上面的命令也在监听这个端口。
图片描述
找到要动态调试的软件的包名,直接选中,点击 ok 打开即可!
图片描述
打开之后,直接使用下图的方式,或者 快捷键 Ctrl+s 找到到要调试的libcrackme.so文件 带x权限的文件。
图片描述
在所有的so文件中直接使用快捷键Ctrl+f 搜索,并找到 Start地址先执行且有 X(可执行权限) 的 选中点击OK进入,
图片描述
打开so文件之后我们要定位到要调试函数Java_com_yaotong_crackme_MainActivity_securityCheck的一个内存的绝对地址=so文件的基地址+函数的偏移量
图片描述
经计算可知,函数的绝对地址就是F49591A8在IDA中 使用快捷键G跳转到地址的位置,也就是要调试的函数位置
图片描述
找到函数名之后,鼠标右键 选择 Add breakpoint 或者 直接使用快捷键F2打断点,然后让程序恢复执行,使用快捷键F8往下走。
图片描述
点击 F8 给so文件中已打断点的函数单步调试,结果直接就退出或出现错误弹窗等等!如下图所示:
图片描述
证明软件有反调试的机制,先看一下软件是通过何种方式反调试的,又是如何检测被调试的呢?

利用Linux系统 ptrace 来实现,当应用被调试时应用内存里的TracerPid字段就不为0,只要是不为0的时候,就会直接的退出程序达到反调试的目的。

接下来进入设备查看一下ptrace字段:

图片描述
知道了软件有反调试之后,接下来就需要对其反反调试了。

如何反反调试: 程序的so文件在加载阶段会先执行JNI_OnLoad,之后就不再执行,在程序的so文件加载阶段才能给JNI_OnLoad打断点调试即可!

用调试模式启动APP,APP此时会挂在启动界面,现在并没有开始加载so文件。
图片描述
打开 IDA 并动态调试上面挂载的程序,进入之后点击Debugger->Debugger options... 选项如下图:
图片描述
勾选这两项Suspend on thread start/exit、Suspend on library load/unload,之后ok,之后点击下图左上角的运行符号,让它运行起来。
图片描述
然后让APP也运行起来,用过下面的这些命令运行APP,即可

获取APP的进程的ID以及再开启一个命令行,直接做端口的监听转发,并直接的运行进程,如下图:
图片描述
图片描述
注意:卡在运行进程这一步的不出现上图的正在初始化jdb... ,应该是你漏掉了一个步骤,我就是因为截图过之后忘记了在IDA 动态调试的时候,忘记点击了一下IDA左上角的运行符号 ,而导致的一致不出来正在初始化jdb... 的情况,出现初始化后,APP处于这个没有控件的界面,此时的APP并没有完全的运行起来,只是挂在这里。
图片描述
然后我们回到 IDA 的动态调试 找到要调试的crackme.so 文件,按Ctrl+s找so文件,之后按Ctrl+f搜索crackme,如果没有就点击左上角的运行 运行一步继续操作,直到可以在所有的so文件中搜索到crackme.so文件,并且找到可执行的X权限的文件。如下图:
图片描述
然后我们要进入 JNI_ONLoad ,接下来算绝对地址=执行so文件的基地址+函数的偏移量 最终如下图所示:
图片描述
最终的计算结果如下图所示:
图片描述
跳转到 JNI_ONLoad 里去了,先结合静态分析看一下这个文件流程图的大致逻辑,然后在动态调试里给 JNI_ONLoad 打断点,点击IDA左上角的运行恢复程序的运行,并一直F8调试往下走,如下图所示:
图片描述
一直到BLX R7的位置跳了出去,很可疑的位置需要重点注意,尝试修补so文件的这个位置,看一下,如下图所示:
图片描述
然后在IDA 动态调试中点击BLX,找到导航栏的Edit→Patch program→Changer byte
图片描述
3F FF 2F E1修改为00 00 00 00,然后直接ok即可!
图片描述
修改了关于程序反调试的TracerPid 指令37 FF 2F E1 改为 00 00 00 00 就不会再有反调试的防护机制了,然后找到JNI_OnLoad下断点的地方并点击F2取消之前下的断点,在IDA导航栏中点击Debugger->Debugger options... 并取消勾选下图两项:
图片描述
接下来就是再次动态调试Java_com_yaotong_crackme_MainActivity_securityCheck

有了上次动态调试的经验,很快通过Ctrl+s和Ctrl+f找到了libcrackme.so的基地址,通过绝对地址=so文件的基地址+函数的偏移量定位到要调试的函数Java_com_yaotong_crackme_MainActivity_securityCheck所在的位置,如下图所示:
图片描述
图片描述
打断点后让程序恢复执行,让手机进入正常的界面并输入yimingrj点击输入密码将其存到寄存器,点击F8会在下断处断下,一直F8向下走找到有跳转的地方,鼠标查看寄存器的值:
图片描述
之后我们看一下R3的值,直接使用快捷键F5看一下伪C代码,又根据之前的静态调试分析可知v6就是真实密码,最后分析出了这个软件真实的进入密码为:aiyou,bucuoo(哎呦,不错哦)!
图片描述
输入密码在程序中验证后进入软件成功!这个软件的密码分析到这里这部分就结束了。
图片描述

这次调试用了更便捷的方式,不用很多次反编译修改和回编译打包每次再重头再来的操作了。
处在不同阶段来看待相同问题,真的会有不一样感觉,会有不同且更加简单方便的处理方法。

连接Google Nexus 真机:adb devices
检查Google Nexus 架构:adb shell getprop ro.product.cpu.abi
下载架构相同的mprop:https://github.com/wpvsyou/mprop
将文件push 进手机的指定目录下:adb push mprop /data/local/tmp
进入手机端命令:adb shell
切换获取手机的root权限:su
查找push的文件是否在手机中:cd /data/local/tmp/
查看路径下的文件以及权限:ls -l
拥有root权限更改文件的权限为777:chmod 777 mprop
修改 ro.debuggable的值为 1:./mprop ro.debuggable 1
获取 ro.debuggable值:getprop ro.debuggable
连接Google Nexus 真机:adb devices
检查Google Nexus 架构:adb shell getprop ro.product.cpu.abi
下载架构相同的mprop:https://github.com/wpvsyou/mprop
将文件push 进手机的指定目录下:adb push mprop /data/local/tmp
进入手机端命令:adb shell
切换获取手机的root权限:su
查找push的文件是否在手机中:cd /data/local/tmp/
查看路径下的文件以及权限:ls -l
拥有root权限更改文件的权限为777:chmod 777 mprop
修改 ro.debuggable的值为 1:./mprop ro.debuggable 1
获取 ro.debuggable值:getprop ro.debuggable
连接Google Nexus 真机:adb devices
检查Google Nexus 架构:adb shell getprop ro.product.cpu.abi
将文件push 进手机的指定目录下:adb push android_server /data/local/tmp/
进入手机端命令:adb shell
切换获取手机的root权限:su
查找push的文件是否在手机中:cd /data/local/tmp/
查看路径下的文件以及权限:ls -l
拥有root权限更改文件的权限为777:chmod 777 android_server
在手机中启动运行该文件:./android_server
windows运行 端口转发到PC:adb forward tcp:23946 tcp:23946
连接Google Nexus 真机:adb devices

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-6-28 13:50 被杰孑编辑 ,原因:
收藏
免费 9
支持
分享
最新回复 (6)
雪    币: 158
活跃值: (1126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
讨论一下,请问:”一直到BLX R7的位置跳了出去,很可疑的位置需要重点注意,尝试修补so文件的这个位置”,为什么挑选BLX R7的位置,是根据什么呀?(因为不清楚此处BLX R7功能,如果此处是程序自带的对so代码解密函数,那么直接NOP会造成影响的呀),请解惑一下,谢谢
2023-6-30 11:37
1
雪    币: 12790
活跃值: (1862)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
教教我吧~ 讨论一下,请问:”一直到BLX R7的位置跳了出去,很可疑的位置需要重点注意,尝试修补so文件的这个位置”,为什么挑选BLX R7的位置,是根据什么呀?(因为不清楚此处BLX R7功能,如果此处是程序 ...
根据程序的反调试情景来的。可理解成是指令集跳转到指令中反调试的位置,NOP掉可让程序不走反调试。
2023-6-30 16:17
2
雪    币: 187
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
真的是非常详细
2023-7-1 18:29
0
雪    币: 3573
活跃值: (31026)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2023-7-1 23:45
1
雪    币: 761
活跃值: (656)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢分享
2023-7-3 22:30
0
雪    币: 158
活跃值: (1126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
杰孑 根据程序的反调试情景来的。可理解成是指令集跳转到指令中反调试的位置,NOP掉可让程序不走反调试。
谢谢
2023-7-4 20:50
0
游客
登录 | 注册 方可回帖
返回
//