1、 爆破l_pubkey_verify
(1) 在IDA中查找字符串 “lmseed.dat” 和 “Can't open lmseed.dat”的引用,对应的源代码如,再往上很容易确定出函数 sb_end。
ret = sb_end(global_data);
if (ret != SB_SUCCESS)
{
fprintf(stderr, "Error 9: ");
goto exit_seed;
}
/*此处是关键的识别点,往上可找到sb_end*/
if (!(fp = fopen("lmseed.dat", "w")))
fprintf(stderr, "Can't open lmseed.dat");
else
{
fprintf(fp,
"\
Once set, the values for LM_SEED1-3 must be kept secret \n\
and *never* change.\n\n\
#define LM_SEED1 0x%08x\n\
#define LM_SEED2 0x%08x\n\
#define LM_SEED3 0x%08x\n", seed1, seed2, seed3);
fclose(fp);
}
(2)查找对sb_end的调用,其中有一个应为 mov [addr], sb_end,对面应的源代码如下,此处所在的函数即为l_pubkey_verify
if (!job->L_VERIFY_MEM)
{
typedef void (*cleanup)(char *);
m = (VERIFY_MEM *)(job->L_VERIFY_MEM =
(char *)l_malloc(job, sizeof(*m)));
m->cleanup = (cleanup)sb_end;
m->strength = strength;
m->sign_level = sign_level;
(3)在找到的mov [addr], sb_end 继续往上,找到选择分支结构,对应的源代码如下,此处的爆破方法很多,可以直接将strength置为0
switch(strength)
{
case LM_STRENGTH_LICENSE_KEY: return 0;
case LM_STRENGTH_113BIT: ellipticCurve =
&LM_PUBKEY_CURVE113BIT; break;
case LM_STRENGTH_163BIT: ellipticCurve =
&LM_PUBKEY_CURVE163BIT; break;
case LM_STRENGTH_239BIT: ellipticCurve =
&LM_PUBKEY_CURVE239BIT; break;
default:
{
LM_SET_ERRNO(job, LM_BADPARAM, 531, 0);
ret = LM_BADPARAM;
goto exit_verify;
}
}
2、 在daemon中寻找seed明文
(1)寻找289BEB8A的引用,应是赋值语句 mov [addr], 289BEB8A,对应的源代码如下
if ((keylen < 12) || (keylen > MAX_CRYPT_LEN)) // MAX_CRYPT_LEN=20
return 0;
if (keylen != 12)
len = L_SECLEN_LONG; // L_SECLEN_LONG=0x289BEB8A
再往前应有 “ok” “demo” “%02X”。
注意在289BEB8A的引用附近没有66D8B337,根据这一条可以直接确定出关键函数l_string_key。
(2)往下找3D4DA1D6,找到 mov [var_xx], 3D4DA1D6,再沿此往上找到类似mov [var_xx],eax。 进一步往前是call sub_xxxx,这里的sub_xxxx就是产生SEED明文的关键函数,返回值eax中就是SEED的明文。
(3)在l_string_key中找到sub_xxxx的两个调用,在函数调用后下断点即可。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法