[原创]APP加固dex解密流程分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]APP加固dex解密流程分析

发表于: 2024-2-22 04:44 43981

[原创]APP加固dex解密流程分析

oacia

2024-2-22 04:44

43981

查看主题内容

收藏・151

免费・60

支持

打赏 + 10.00雪花

万里星河

打赏次数 1

雪花 + 10.00

万里星河

+10.00

2024/02/27

如沐春风收益匪浅敬仰之情涛涛不绝

最新回复 (78) ◀ 1 2 3 4 ▶
mb_eiaothcj 雪币： 478 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_eiaothcj 51 楼万里星河太强了我的佬最后于 2024-4-3 12:30 被mb_eiaothcj编辑，原因： 2024-4-3 12:29 0
mb_eiaothcj 雪币： 478 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_eiaothcj 52 楼 oacia 这里program header table的大小应该是0x38*0x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些[em_85][em_85][em_85] 这个看010editor就能看出来大小为0x150，我看的时候还比较好奇，你dump出来的多了0x20是怎么修复回去的，不会多么 2024-4-5 15:45 0
MLL123456 雪币： 401 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MLL123456 53 楼太强了 2024-4-17 05:03 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 54 楼话说三次指针佬你是怎么发现的 2024-4-25 15:21 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 55 楼楼主分析问题真的举重若轻啊，思路非常清晰！ 2024-4-29 10:01 0
medmi 雪币： 718 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	medmi 56 楼过于牛逼,无法阅读 2024-6-10 15:06 0
mb_artypltt 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_artypltt 57 楼太牛了，感谢分享 2024-6-10 18:08 0
tmi 雪币： 863 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 61 粉丝 13 关注私信	tmi 58 楼硬核 2024-6-11 10:12 0
月清晖雪币： 72 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	月清晖 59 楼楼主太厉害了，基本分析干净了~ 持续关注native oncteate~ 2024-6-11 10:38 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 60 楼 oacia 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直接将section段的内容全部都置为0这样IDA会自己通过动态表找到对应的 ... 重温经典实际复现后我感觉dlopen的交叉引用也许真的只有一个理由如下: 1.so_fixer是基于动态段对节区进行重构 2.so_fixer的github官网作者也说对重定位的计算有些问题而dlopen作为导入函数与重定位直接挂钩 3.实践后发现经so_fixer修复后的so dlopen处并没有被重定位到真正的dlopen 而是存在着一个符号的错位 4.正如大佬所说经过so_fixer修复后再将重构的节区置0 ida就会根据动态段直接进行解析同样的数据源 ida大概率没有so_fixer已有的bug 结果更加可信 5.经测试 ida直接解析的dlopen的引用位置也没有问题在其他函数中对其它导入符号的解析看起来也比so_fixer正常很多综上 so_fixer有些问题 dlopen的交叉引用大概真的只有一个最后于 2024-6-12 17:42 被万里星河编辑，原因： 2024-6-12 17:37 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 61 楼目前是我看到分析最全的一篇文章，???? 。但是我一点不太理解，就是这种自定义linker这种，直接dump内存在修复不行么？ 2024-8-7 17:13 0
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 62 楼珍惜Any 目前是我看到分析最全的一篇文章，???? 。但是我一点不太理解，就是这种自定义linker这种，直接dump内存在修复不行么？这里使用的思路也是dump内存再修复，只是这个由自定义linker加载的so在dump下来之后因为program header table被加密的缘故，而解密后的pht又和被加载so所映射的内存是分离的，sofixer这种so修复工具没有办法正常解析so，所以得找到解密后的pht，我使用的办法是直接追函数执行流找到pht的解密函数，然后静态解密出来再patch回去，其实应该有更加通用的方法就是找到soinfo然后去读soinfo->phdr，重构program header table，我看到seeflower大佬的一篇blog https://blog.seeflower.dev/archives/299/ 中，是通过hook soinfo->call_constructors获取到soinfo指针的。我觉得或许只要拿到soinfo，通过对这个结构体的各个成员进行逆向解析，依次获取soinfo中记录的ELF文件各个字段所映射的地址，并读取相对应的内存，就能够重构出一个标准的so来？。 2024-8-8 06:41 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 63 楼 oacia 这里使用的思路也是dump内存再修复，只是这个由自定义linker加载的so在dump下来之后因为program header table被加密的缘故，而解密后的pht又和被加载so所映射的内存是分离 ... 我也遇到过这个问题，program header table 他其实不是被加密，是抹掉了，我在sofixer里面跳过了 program header table的检测，就好了。不过你说的这个也是个办法。感谢分享 2024-8-8 14:55 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 64 楼楼主研究一下360vip加固？ 2024-8-9 16:05 0
mb_ytiyqklv 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ytiyqklv 65 楼 function hook_5E6C(){ var module = Process.findModuleByName("libjiagu_64.so"); Interceptor.attach(module.base.add(0x5E6C), { // fd, buff, len onEnter: function (args) { console.log(hexdump(args[0], { offset: 0,// 相对偏移 length: 0x38*0x6+0x20,//dump 的大小 header: true, ansi: true })); console.log(args[1]) console.log(args[2]) console.log(`base = ${module.base}`) }, onLeave: function (ret) { } }); }这里的0x20是什么 2024-9-7 09:03 0
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 66 楼 mb_ytiyqklv function hook_5E6C(){ var module = Process.findModuleByName("libjiagu_64.so"); I ... 当时想看看后面还有没有其他的数据所以就dump的稍微多了一些 2024-9-7 13:37 1
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 67 楼 tDasm 楼主研究一下360vip加固？之后如果有遇到的话会去分析一下滴 2024-9-7 13:39 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 68 楼 oacia 之后如果有遇到的话会去分析一下滴[em_27] 北京时间app 2024-9-7 14:39 0
mb_ytiyqklv 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ytiyqklv 69 楼 function hook_libjiagu() { var module_name = "libjiagu_64.so"; Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), { onEnter: function (args) { this.path = args[0].readCString(); }, onLeave: function (retval) { // 检查模块是否是我们关心的模块 if (this.path.indexOf(module_name) !== -1) { console.log(module_name + " loaded at: " + Module.findBaseAddress(module_name)); // 模块加载后进行 Hook var module = Process.findModuleByName(module_name); if (module) { Interceptor.attach(module.base.add(0x1770C), { onEnter: function (args) { try { var s = this.context.x6.readCString(); if (s.indexOf('frida') !== -1 \|\| s.indexOf('gum-js-loop') !== -1 \|\| s.indexOf('gmain') !== -1 \|\| s.indexOf('linjector') !== -1 \|\| s.indexOf('/proc/') !== -1) { console.log(s); Memory.protect(this.context.x0, Process.pointerSize, 'rwx'); var replace_str = "00"; /* for (var i = 0; i < s.length; i++) { replace_str += "0"; } */ this.context.x0.writeUtf8String(replace_str); } } catch (e) { //console.error("Error: ", e); } }, onLeave: function (ret) {} }); } else { console.error("Module not found: " + module_name); } } } }); } // 调用函数启动 Hook hook_libjiagu(); 过调试部分需要模块加载以后hook 2024-9-8 00:10 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 70 楼大神，能不能讲下i国网这个app怎么开启webview调试 2024-9-8 16:29 0
xiaowaaa 雪币： 380 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xiaowaaa 71 楼太强啦我的佬 2024-9-23 13:14 0
mb_vgbsclvi 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	mb_vgbsclvi 72 楼太卷了我的佬，头发还好嘛 2024-10-4 03:16 0
墨穹呢雪币： 2069 活跃值： (2622) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 46 粉丝 15 关注私信	墨穹呢 73 楼感谢分享 2024-10-4 10:40 0
night star 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	night star 74 楼万里星河 oacia 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直 ... 确实，我也发现sofixer修复的有一些导入函数解析错了 2024-10-7 20:01 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 75 楼 night star 确实，我也发现sofixer修复的有一些导入函数解析错了不容易啊快半年了终于有人遇到和我一样的问题了感动最后于 2024-10-8 03:12 被万里星河编辑，原因： 2024-10-8 03:11 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

oacia

发帖

回帖

140

RANK

关注

私信

他的文章

[原创]APP加固dex解密流程分析 43981
[原创]flutter逆向 ACTF native app 22868
[原创]细品sec2023安卓赛题 22836
[原创]将rwProcMem33编译进安卓内核 25716
[原创]DASCTF 2023六月挑战赛二进制专项 RE writeup 20821

关于我们

联系我们

企业服务

看雪公众号

最新回复 (78) ◀ 1 2 3 4 ▶
mb_eiaothcj 雪币： 478 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_eiaothcj 51 楼万里星河太强了我的佬最后于 2024-4-3 12:30 被mb_eiaothcj编辑，原因： 2024-4-3 12:29 0
mb_eiaothcj 雪币： 478 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 2 关注私信	mb_eiaothcj 52 楼 oacia 这里program header table的大小应该是0x38*0x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些[em_85][em_85][em_85] 这个看010editor就能看出来大小为0x150，我看的时候还比较好奇，你dump出来的多了0x20是怎么修复回去的，不会多么 2024-4-5 15:45 0
MLL123456 雪币： 401 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MLL123456 53 楼太强了 2024-4-17 05:03 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 54 楼话说三次指针佬你是怎么发现的 2024-4-25 15:21 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 55 楼楼主分析问题真的举重若轻啊，思路非常清晰！ 2024-4-29 10:01 0
medmi 雪币： 718 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	medmi 56 楼过于牛逼,无法阅读 2024-6-10 15:06 0
mb_artypltt 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_artypltt 57 楼太牛了，感谢分享 2024-6-10 18:08 0
tmi 雪币： 863 活跃值： (1265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 61 粉丝 13 关注私信	tmi 58 楼硬核 2024-6-11 10:12 0
月清晖雪币： 72 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	月清晖 59 楼楼主太厉害了，基本分析干净了~ 持续关注native oncteate~ 2024-6-11 10:38 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 60 楼 oacia 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直接将section段的内容全部都置为0这样IDA会自己通过动态表找到对应的 ... 重温经典实际复现后我感觉dlopen的交叉引用也许真的只有一个理由如下: 1.so_fixer是基于动态段对节区进行重构 2.so_fixer的github官网作者也说对重定位的计算有些问题而dlopen作为导入函数与重定位直接挂钩 3.实践后发现经so_fixer修复后的so dlopen处并没有被重定位到真正的dlopen 而是存在着一个符号的错位 4.正如大佬所说经过so_fixer修复后再将重构的节区置0 ida就会根据动态段直接进行解析同样的数据源 ida大概率没有so_fixer已有的bug 结果更加可信 5.经测试 ida直接解析的dlopen的引用位置也没有问题在其他函数中对其它导入符号的解析看起来也比so_fixer正常很多综上 so_fixer有些问题 dlopen的交叉引用大概真的只有一个最后于 2024-6-12 17:42 被万里星河编辑，原因： 2024-6-12 17:37 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 61 楼目前是我看到分析最全的一篇文章，???? 。但是我一点不太理解，就是这种自定义linker这种，直接dump内存在修复不行么？ 2024-8-7 17:13 0
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 62 楼珍惜Any 目前是我看到分析最全的一篇文章，???? 。但是我一点不太理解，就是这种自定义linker这种，直接dump内存在修复不行么？这里使用的思路也是dump内存再修复，只是这个由自定义linker加载的so在dump下来之后因为program header table被加密的缘故，而解密后的pht又和被加载so所映射的内存是分离的，sofixer这种so修复工具没有办法正常解析so，所以得找到解密后的pht，我使用的办法是直接追函数执行流找到pht的解密函数，然后静态解密出来再patch回去，其实应该有更加通用的方法就是找到soinfo然后去读soinfo->phdr，重构program header table，我看到seeflower大佬的一篇blog https://blog.seeflower.dev/archives/299/ 中，是通过hook soinfo->call_constructors获取到soinfo指针的。我觉得或许只要拿到soinfo，通过对这个结构体的各个成员进行逆向解析，依次获取soinfo中记录的ELF文件各个字段所映射的地址，并读取相对应的内存，就能够重构出一个标准的so来？。 2024-8-8 06:41 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 63 楼 oacia 这里使用的思路也是dump内存再修复，只是这个由自定义linker加载的so在dump下来之后因为program header table被加密的缘故，而解密后的pht又和被加载so所映射的内存是分离 ... 我也遇到过这个问题，program header table 他其实不是被加密，是抹掉了，我在sofixer里面跳过了 program header table的检测，就好了。不过你说的这个也是个办法。感谢分享 2024-8-8 14:55 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 64 楼楼主研究一下360vip加固？ 2024-8-9 16:05 0
mb_ytiyqklv 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ytiyqklv 65 楼 function hook_5E6C(){ var module = Process.findModuleByName("libjiagu_64.so"); Interceptor.attach(module.base.add(0x5E6C), { // fd, buff, len onEnter: function (args) { console.log(hexdump(args[0], { offset: 0,// 相对偏移 length: 0x38*0x6+0x20,//dump 的大小 header: true, ansi: true })); console.log(args[1]) console.log(args[2]) console.log(`base = ${module.base}`) }, onLeave: function (ret) { } }); }这里的0x20是什么 2024-9-7 09:03 0
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 66 楼 mb_ytiyqklv function hook_5E6C(){ var module = Process.findModuleByName("libjiagu_64.so"); I ... 当时想看看后面还有没有其他的数据所以就dump的稍微多了一些 2024-9-7 13:37 1
oacia 雪币： 3505 活跃值： (4748) 能力值： ( LV9，RANK：140 ) 在线值：发帖 11 回帖 57 粉丝 218 关注私信	oacia 2 67 楼 tDasm 楼主研究一下360vip加固？之后如果有遇到的话会去分析一下滴 2024-9-7 13:39 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 68 楼 oacia 之后如果有遇到的话会去分析一下滴[em_27] 北京时间app 2024-9-7 14:39 0
mb_ytiyqklv 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ytiyqklv 69 楼 function hook_libjiagu() { var module_name = "libjiagu_64.so"; Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), { onEnter: function (args) { this.path = args[0].readCString(); }, onLeave: function (retval) { // 检查模块是否是我们关心的模块 if (this.path.indexOf(module_name) !== -1) { console.log(module_name + " loaded at: " + Module.findBaseAddress(module_name)); // 模块加载后进行 Hook var module = Process.findModuleByName(module_name); if (module) { Interceptor.attach(module.base.add(0x1770C), { onEnter: function (args) { try { var s = this.context.x6.readCString(); if (s.indexOf('frida') !== -1 \|\| s.indexOf('gum-js-loop') !== -1 \|\| s.indexOf('gmain') !== -1 \|\| s.indexOf('linjector') !== -1 \|\| s.indexOf('/proc/') !== -1) { console.log(s); Memory.protect(this.context.x0, Process.pointerSize, 'rwx'); var replace_str = "00"; /* for (var i = 0; i < s.length; i++) { replace_str += "0"; } */ this.context.x0.writeUtf8String(replace_str); } } catch (e) { //console.error("Error: ", e); } }, onLeave: function (ret) {} }); } else { console.error("Module not found: " + module_name); } } } }); } // 调用函数启动 Hook hook_libjiagu(); 过调试部分需要模块加载以后hook 2024-9-8 00:10 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 70 楼大神，能不能讲下i国网这个app怎么开启webview调试 2024-9-8 16:29 0
xiaowaaa 雪币： 380 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xiaowaaa 71 楼太强啦我的佬 2024-9-23 13:14 0
mb_vgbsclvi 雪币： 11 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	mb_vgbsclvi 72 楼太卷了我的佬，头发还好嘛 2024-10-4 03:16 0
墨穹呢雪币： 2069 活跃值： (2622) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 46 粉丝 15 关注私信	墨穹呢 73 楼感谢分享 2024-10-4 10:40 0
night star 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	night star 74 楼万里星河 oacia 因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直 ... 确实，我也发现sofixer修复的有一些导入函数解析错了 2024-10-7 20:01 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 75 楼 night star 确实，我也发现sofixer修复的有一些导入函数解析错了不容易啊快半年了终于有人遇到和我一样的问题了感动最后于 2024-10-8 03:12 被万里星河编辑，原因： 2024-10-8 03:11 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复