[原创]某app加固逆向分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某app加固逆向分析

发表于: 2024-1-23 14:30 20116

[原创]某app加固逆向分析

saidyou

2024-1-23 14:30

20116

小伙伴公司需要代码静态分析安全性，上了壳，就逆向分析了下。

Apk打开没有太多的代码，在自定义的application中加载了一个名为**Helper的so。
图片描述
在doAttach函数中能够找到反射调用原application的初始化。

图片描述
打开so查看dynamic表，存在.init.proc，initarray只有一个函数。
再查看jni_onload函数，发现密文，猜测是init_array或者init_proc中解密so中代码段，修复代码段必定涉及mprotect，要么调用libc要么svc自己实现，能够快速找到可疑位置。
图片描述
Init.proc，调用sub_10150C，再调用三次sub_1011A0函数修改内存权限，通过svc调用mprotect修改该so在内存中的权限，修复该so原本的代码。

Dump代码段，修复elf，再次查看jni_onload，ida正常解析。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#逆向分析 #混淆加固 #脱壳反混淆

上传的附件：

so_fixed.so （928.39kb，76次下载）

收藏・37

免费・10

支持

最新回复 (16)
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 2 楼邦邦企业加固在手上的测试机，打开就crash 2024-1-23 14:56 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 3 楼 New对象处邦邦企业加固在手上的测试机，打开就crash 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包 2024-1-23 15:07 0
issio 雪币： 984 活跃值： (340) 能力值： ( LV5，RANK：75 ) 在线值：发帖 2 回帖 5 粉丝 1 关注私信	issio 1 4 楼楼主方便发下案例学习一下吗 2024-1-23 15:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 5 楼感谢分享 2024-1-23 15:57 0
简单的简单雪币： 6408 活跃值： (4817) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 62 粉丝 71 关注私信	简单的简单 6 楼可以发下案例么，想跟着帖子学习学习 2024-1-23 17:57 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 7 楼 saidyou 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包奶块这个游戏应该是企业版 2024-1-23 20:12 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 8 楼 dump出来之后如何修复elf呢？ 2024-1-24 09:47 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 9 楼 wx_柠檬七喜 dump出来之后如何修复elf呢？直接替换.text段就可以了 2024-1-24 10:26 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 10 楼 saidyou 直接替换.text段就可以了可是dexhelper中没有.text这个section，text要收工添加吗 2024-1-24 14:53 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 11 楼 wx_柠檬七喜可是dexhelper中没有.text这个section，text要收工添加吗这个segment 2024-1-24 16:10 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 12 楼 saidyou 这个segment 直接从0开始填充894804就可以了吗？ 2024-1-25 08:48 0
怜渠客雪币： 3082 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	怜渠客 13 楼企业版会把Dex里的部分方法vm保护 2024-1-25 09:14 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 14 楼怜渠客企业版会把Dex里的部分方法vm保护是的dump了dex没用，还要分析dexjni.so 2024-1-25 14:22 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 15 楼 saidyou 这个segment 是的 2024-1-29 11:08 0
st0ne 雪币： 2159 活跃值： (4087) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 51 粉丝 99 关注私信	st0ne 1 16 楼感谢分享 2024-1-31 13:46 0
tensile 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tensile 17 楼 saidyou 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包山航掌上飞 2024-8-8 14:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

saidyou

发帖

回帖

153

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 2 楼邦邦企业加固在手上的测试机，打开就crash 2024-1-23 14:56 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 3 楼 New对象处邦邦企业加固在手上的测试机，打开就crash 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包 2024-1-23 15:07 0
issio 雪币： 984 活跃值： (340) 能力值： ( LV5，RANK：75 ) 在线值：发帖 2 回帖 5 粉丝 1 关注私信	issio 1 4 楼楼主方便发下案例学习一下吗 2024-1-23 15:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 5 楼感谢分享 2024-1-23 15:57 0
简单的简单雪币： 6408 活跃值： (4817) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 62 粉丝 71 关注私信	简单的简单 6 楼可以发下案例么，想跟着帖子学习学习 2024-1-23 17:57 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 7 楼 saidyou 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包奶块这个游戏应该是企业版 2024-1-23 20:12 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 8 楼 dump出来之后如何修复elf呢？ 2024-1-24 09:47 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 9 楼 wx_柠檬七喜 dump出来之后如何修复elf呢？直接替换.text段就可以了 2024-1-24 10:26 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 10 楼 saidyou 直接替换.text段就可以了可是dexhelper中没有.text这个section，text要收工添加吗 2024-1-24 14:53 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 11 楼 wx_柠檬七喜可是dexhelper中没有.text这个section，text要收工添加吗这个segment 2024-1-24 16:10 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 12 楼 saidyou 这个segment 直接从0开始填充894804就可以了吗？ 2024-1-25 08:48 0
怜渠客雪币： 3082 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	怜渠客 13 楼企业版会把Dex里的部分方法vm保护 2024-1-25 09:14 0
wx_柠檬七喜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_柠檬七喜 14 楼怜渠客企业版会把Dex里的部分方法vm保护是的dump了dex没用，还要分析dexjni.so 2024-1-25 14:22 0
saidyou 雪币： 486 活跃值： (1247) 能力值： ( LV9，RANK：153 ) 在线值：发帖 7 回帖 25 粉丝 14 关注私信	saidyou 15 楼 saidyou 这个segment 是的 2024-1-29 11:08 0
st0ne 雪币： 2159 活跃值： (4087) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 51 粉丝 99 关注私信	st0ne 1 16 楼感谢分享 2024-1-31 13:46 0
tensile 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tensile 17 楼 saidyou 我到现在还不清楚企不企业版区别，这个包看到有一些检测的，求个企业包山航掌上飞 2024-8-8 14:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复