360加固保so动态脱壳

环境及工具

手机    :  中兴 U887

系统版本:    Android 2.3.5

工具    :    IDA pro 6.6 、0101Editor


目前so加壳有很多家,我己知的有 爱加密梆梆360娜迦等 各有所长。今天把学习360的脱壳笔记记录下来与小菜共同学习,没有其它目的,大神请绕道!


1.对加壳后的so进行反编译代码不能正常显示被加密了,如下图所示:

[解决方案1将elf文件的区节表相关的3个数据参数设置为0,然后用IDA打开]

[解决方案2动态调试apk等到so加载到内存解密完成以后从内存中dump出来,使用Thomasking的so修复工具修复一下]


查看so的"INIT_ARRAY",指向了壳的入口, 如下图所示:


2.用IDA反编译加壳后的so文件,到0Xfd30去(壳的入口函数),如下图所示

 

360加固保so动态脱壳_第1张图片


3.通过上面分析知道了入口在"INIT_ARRAY",接下来动态调试,(如果不知道如何到该入口的可以参考 0n1y3nd's 大神写的文章

http://0nly3nd.sinaapp.com/?p=649)到达壳入口后如下图所示:

与静态分析时是一样的。


4.壳反调试检查是否有如下调试器 gdb、strace 、ltrace 、android_server,如下图所:

 

5.接下来解密第二层的壳代码,算法为RC4,如下图所示:

 

6.知道密钥和算法及要解密的数据与大小,我们来写程序静态解密so中的数据,解密后生成so文件然后反编译该文件,以前不能正常显示的代码现在都能正常显示了(第二层壳),如下图所示:


7.第二层的壳代码解密完后,INIT_ARRAY处的壳代码功能算是走完了,接着在JNI_OnLoad处下好断点,F9运行,如下图所示:


8.断在JNI_OnLoad后继续分析,Unk_8050303C函数解密原始so  RC4算法,如下图所示:


解密后的数据以".lfx"开头, 如下所示:

360加固保so动态脱壳_第2张图片


9.将解密后的数据全部dump出来保存为lfx.Dump,与原始的so比较,看发生了什么变化,如下图所示:

360加固保so动态脱壳_第3张图片


10.将上面dump出来的文件lfx.Dump与没加壳前的so文件比较,发现不同的地方很多,说明还没有完全解密,继续分析,如下图所示:

开头4字节不一样

中间N多字节不一样


11.继分析后发现会对该文件的代码节进解压缩,这时候dump出来就会是原始的代码了,如下图所示:

360加固保so动态脱壳_第4张图片


解密原始so并解压代码的流程如下:

复制代码
  1 libjuan.so:8050303C             loc_8050303C                            ; CODE XREF: 
  2 
  3 libjuan.so:JNI_OnLoad+34p
  4 libjuan.so:8050303C F0 4F 2D E9 STMFD           SP!, {R4-R11,LR}
  5 libjuan.so:80503040 D0 B2 9F E5 LDR             R11, =(unk_8050FEE0 - 0x80503054)
  6 libjuan.so:80503044 D0 32 9F E5 LDR             R3, =0xFFFFFF68
  7 libjuan.so:80503048 D0 52 9F E5 LDR             R5, =(unk_8050D940 - 0x80503060)
  8 libjuan.so:8050304C 0B B0 8F E0 ADD             R11, PC, R11 ; unk_8050FEE0
  9 libjuan.so:80503050 03 30 9B E7 LDR             R3, [R11,R3]
 10 libjuan.so:80503054 5B DF 4D E2 SUB             SP, SP, #0x16C
 11 libjuan.so:80503058 05 50 8F E0 ADD             R5, PC, R5 ; unk_8050D940
 12 libjuan.so:8050305C 0C 30 8D E5 STR             R3, [SP,#0xC]
 13 libjuan.so:80503060 00 30 93 E5 LDR             R3, [R3]
 14 libjuan.so:80503064 05 10 A0 E1 MOV             R1, R5
 15 libjuan.so:80503068 0A 20 A0 E3 MOV             R2, #0xA
 16 libjuan.so:8050306C 1C 00 8D E2 ADD             R0, SP, #0x1C
 17 libjuan.so:80503070 64 31 8D E5 STR             R3, [SP,#0x164]
 18 libjuan.so:80503074 11 FE FF EB BL              memcpy_0                ; 拷贝密钥0XA字节
 19 libjuan.so:80503074                                                     ; 46 45 88 89 98 99 87 87 
 20 
 21 65 87
 22 libjuan.so:80503078 1C 00 8D E2 ADD             R0, SP, #0x1C
 23 libjuan.so:8050307C 0A 10 A0 E3 MOV             R1, #0xA
 24 libjuan.so:80503080 60 20 8D E2 ADD             R2, SP, #0x60
 25 libjuan.so:80503084 7E 0B 00 EB BL              init_Key
 26 libjuan.so:80503088 94 32 9F E5 LDR             R3, =0xFFFFFF94
 27 libjuan.so:8050308C 45 1C A0 E3+MOV             R1, #0x451C             ; 要解密的大小 0000451C
 28 libjuan.so:80503094 03 90 9B E7 LDR             R9, [R11,R3]
 29 libjuan.so:80503098 60 20 8D E2 ADD             R2, SP, #0x60           ; R2初始化的的密钥
 30 libjuan.so:8050309C 00 60 A0 E3 MOV             R6, #0
 31 libjuan.so:805030A0 09 00 A0 E1 MOV             R0, R9                  ; R0要解密的数据 地址
 32 
 33 805104CC
 34 libjuan.so:805030A4 97 0C 00 EB BL              rc4_crypt               ; 解密原始的so文件
 35 libjuan.so:805030A8 01 2C A0 E3 MOV             R2, #0x100
 36 libjuan.so:805030AC 00 10 A0 E3 MOV             R1, #0
 37 libjuan.so:805030B0 02 20 82 E2 ADD             R2, R2, #2
 38 libjuan.so:805030B4 60 00 8D E2 ADD             R0, SP, #0x60
 39 libjuan.so:805030B8 03 FE FF EB BL              memset_0
 40 libjuan.so:805030BC 04 00 A0 E3 MOV             R0, #4
 41 libjuan.so:805030C0 12 12 00 EB BL              AnitDbg_0
 42 libjuan.so:805030C4 20 40 99 E5 LDR             R4, [R9,#0x20]
 43 libjuan.so:805030C8 B2 33 D9 E1 LDRH            R3, [R9,#0x32]
 44 libjuan.so:805030CC 28 20 A0 E3 MOV             R2, #0x28
 45 libjuan.so:805030D0 04 40 89 E0 ADD             R4, R9, R4
 46 libjuan.so:805030D4 92 43 23 E0 MLA             R3, R2, R3, R4
 47 libjuan.so:805030D8 10 30 93 E5 LDR             R3, [R3,#0x10]
 48 libjuan.so:805030DC 03 30 89 E0 ADD             R3, R9, R3
 49 libjuan.so:805030E0 04 30 8D E5 STR             R3, [SP,#4]
 50 libjuan.so:805030E4 76 10 00 EB BL              __gnu_armfini_11
 51 libjuan.so:805030E8 0D 20 A0 E3 MOV             R2, #0xD
 52 libjuan.so:805030EC 0C 10 85 E2 ADD             R1, R5, #0xC
 53 libjuan.so:805030F0 28 00 8D E2 ADD             R0, SP, #0x28
 54 libjuan.so:805030F4 F1 FD FF EB BL              memcpy_0
 55 libjuan.so:805030F8 28 00 8D E2 ADD             R0, SP, #0x28
 56 libjuan.so:805030FC D3 14 00 EB BL              GetBase64String
 57 libjuan.so:80503100 38 10 8D E2 ADD             R1, SP, #0x38
 58 libjuan.so:80503104 28 00 8D E2 ADD             R0, SP, #0x28
 59 libjuan.so:80503108 38 60 8D E5 STR             R6, [SP,#0x38]
 60 libjuan.so:8050310C 3C 60 8D E5 STR             R6, [SP,#0x3C]
 61 libjuan.so:80503110 40 60 8D E5 STR             R6, [SP,#0x40]
 62 libjuan.so:80503114 44 60 8D E5 STR             R6, [SP,#0x44]
 63 libjuan.so:80503118 48 60 8D E5 STR             R6, [SP,#0x48]
 64 libjuan.so:8050311C 4C 60 8D E5 STR             R6, [SP,#0x4C]
 65 libjuan.so:80503120 50 60 8D E5 STR             R6, [SP,#0x50]
 66 libjuan.so:80503124 54 60 8D E5 STR             R6, [SP,#0x54]
 67 libjuan.so:80503128 58 60 8D E5 STR             R6, [SP,#0x58]
 68 libjuan.so:8050312C 5C 60 8D E5 STR             R6, [SP,#0x5C]
 69 libjuan.so:80503130 4D 13 00 EB BL              DecBase64String
 70 libjuan.so:80503134 1C 10 85 E2 ADD             R1, R5, #0x1C
 71 libjuan.so:80503138 06 20 A0 E3 MOV             R2, #6
 72 libjuan.so:8050313C 14 00 8D E2 ADD             R0, SP, #0x14
 73 libjuan.so:80503140 DE FD FF EB BL              memcpy_0
 74 libjuan.so:80503144 14 00 8D E2 ADD             R0, SP, #0x14
 75 libjuan.so:80503148 06 10 A0 E3 MOV             R1, #6
 76 libjuan.so:8050314C 8A FF FF EB BL              DecString_0
 77 libjuan.so:80503150 B0 33 D9 E1 LDRH            R3, [R9,#0x30]
 78 libjuan.so:80503154 06 00 53 E1 CMP             R3, R6
 79 libjuan.so:80503158 03 60 A0 01 MOVEQ           R6, R3
 80 libjuan.so:8050315C 39 00 00 0A BEQ             loc_80503248
 81 libjuan.so:80503160 C0 71 9F E5 LDR             R7, =(dword_805149E8 - 0x80503170)
 82 libjuan.so:80503164 06 80 A0 E1 MOV             R8, R6
 83 libjuan.so:80503168 07 70 8F E0 ADD             R7, PC, R7 ; dword_805149E8
 84 libjuan.so:8050316C
 85 libjuan.so:8050316C             loc_8050316C                            ; CODE XREF: 
 86 
 87 libjuan.so:__gnu_arm_flush+350j
 88 libjuan.so:8050316C 04 C0 9D E5 LDR             R12, [SP,#4]
 89 libjuan.so:80503170 00 00 94 E5 LDR             R0, [R4]
 90 libjuan.so:80503174 14 10 8D E2 ADD             R1, SP, #0x14
 91 libjuan.so:80503178 00 00 8C E0 ADD             R0, R12, R0
 92 libjuan.so:8050317C DE FD FF EB BL              strcmp                  ; 与.text比较
 93 libjuan.so:80503180 00 30 50 E2 SUBS            R3, R0, #0
 94 libjuan.so:80503184 3D 00 00 1A BNE             loc_80503280
 95 libjuan.so:80503188 10 50 94 E5 LDR             R5, [R4,#0x10]
 96 libjuan.so:8050318C 14 C0 94 E5 LDR             R12, [R4,#0x14]
 97 libjuan.so:80503190 05 A0 99 E7 LDR             R10, [R9,R5]
 98 libjuan.so:80503194 08 C0 8D E5 STR             R12, [SP,#8]
 99 libjuan.so:80503198 00 30 8D E5 STR             R3, [SP]
100 libjuan.so:8050319C 0A 00 A0 E1 MOV             R0, R10
101 libjuan.so:805031A0 C3 FD FF EB BL              malloc
102 libjuan.so:805031A4 00 60 50 E2 SUBS            R6, R0, #0
103 libjuan.so:805031A8 05 50 89 E0 ADD             R5, R9, R5
104 libjuan.so:805031AC 00 30 9D E5 LDR             R3, [SP]
105 libjuan.so:805031B0 51 00 00 0A BEQ             loc_805032FC
106 libjuan.so:805031B4 00 00 5A E3 CMP             R10, #0
107 libjuan.so:805031B8 14 00 00 DA BLE             loc_80503210
108 libjuan.so:805031BC 68 11 9F E5 LDR             R1, =0xFFFFFF70
109 libjuan.so:805031C0 04 20 A0 E3 MOV             R2, #4
110 libjuan.so:805031C4 01 E0 9B E7 LDR             LR, [R11,R1]
111 libjuan.so:805031C8 00 10 9E E5 LDR             R1, [LR]
112 libjuan.so:805031CC
113 libjuan.so:805031CC             loc_805031CC                            ; CODE XREF: 
114 
115 libjuan.so:__gnu_arm_flush+28Cj
116 libjuan.so:805031CC 03 00 13 E3 TST             R3, #3
117 libjuan.so:805031D0 07 00 00 1A BNE             loc_805031F4
118 libjuan.so:805031D4 FE 00 51 E3 CMP             R1, #0xFE
119 libjuan.so:805031D8 05 00 00 8A BHI             loc_805031F4
120 libjuan.so:805031DC 4C 01 9F E5 LDR             R0, =0xFFFFFF6C
121 libjuan.so:805031E0 02 C0 D5 E7 LDRB            R12, [R5,R2]
122 libjuan.so:805031E4 01 10 81 E2 ADD             R1, R1, #1
123 libjuan.so:805031E8 00 00 9B E7 LDR             R0, [R11,R0]
124 libjuan.so:805031EC 01 20 82 E2 ADD             R2, R2, #1
125 libjuan.so:805031F0 43 C1 C0 E7 STRB            R12, [R0,R3,ASR#2]
126 libjuan.so:805031F4
127 libjuan.so:805031F4             loc_805031F4                            ; CODE XREF: 
128 
129 libjuan.so:__gnu_arm_flush+254j
130 libjuan.so:805031F4                                                     ; 
131 
132 libjuan.so:__gnu_arm_flush+25Cj
133 libjuan.so:805031F4 02 00 D5 E7 LDRB            R0, [R5,R2]
134 libjuan.so:805031F8 01 20 82 E2 ADD             R2, R2, #1
135 libjuan.so:805031FC 03 00 C6 E7 STRB            R0, [R6,R3]
136 libjuan.so:80503200 01 30 83 E2 ADD             R3, R3, #1
137 libjuan.so:80503204 03 00 5A E1 CMP             R10, R3
138 libjuan.so:80503208 EF FF FF 1A BNE             loc_805031CC
139 libjuan.so:8050320C 00 10 8E E5 STR             R1, [LR]
140 libjuan.so:80503210
141 libjuan.so:80503210             loc_80503210                            ; CODE XREF: 
142 
143 libjuan.so:__gnu_arm_flush+23Cj
144 libjuan.so:80503210 08 C0 9D E5 LDR             R12, [SP,#8]
145 libjuan.so:80503214 05 00 A0 E1 MOV             R0, R5
146 libjuan.so:80503218 10 10 8D E2 ADD             R1, SP, #0x10
147 libjuan.so:8050321C 06 20 A0 E1 MOV             R2, R6
148 libjuan.so:80503220 0A 30 A0 E1 MOV             R3, R10
149 libjuan.so:80503224 10 C0 8D E5 STR             R12, [SP,#0x10]
150 libjuan.so:80503228 C2 FD FF EB BL              uncompress_0            ; 解压代码(.text)
151 libjuan.so:8050322C 00 00 50 E3 CMP             R0, #0                  ; 这时候dump可以得到原始的so
152 
153 so了
154 libjuan.so:80503230 27 00 00 0A BEQ             loc_805032D4
155 libjuan.so:80503234 F8 30 9F E5 LDR             R3, =0xFFFFFF60
156 libjuan.so:80503238 BF 2E A0 E3 MOV             R2, #0xBF0
157 libjuan.so:8050323C 00 60 A0 E3 MOV             R6, #0
158 libjuan.so:80503240 03 30 9B E7 LDR             R3, [R11,R3]
159 libjuan.so:80503244 00 20 83 E5 STR             R2, [R3]
160 libjuan.so:80503248
161 libjuan.so:80503248             loc_80503248                            ; CODE XREF: 
162 
163 libjuan.so:__gnu_arm_flush+1E0j
164 libjuan.so:80503248                                                     ; 
165 
166 libjuan.so:__gnu_arm_flush+354j ...
167 libjuan.so:80503248 0C C0 9D E5 LDR             R12, [SP,#0xC]
168 libjuan.so:8050324C 64 21 9D E5 LDR             R2, [SP,#0x164]
169 libjuan.so:80503250 06 00 A0 E1 MOV             R0, R6
170 libjuan.so:80503254 00 30 9C E5 LDR             R3, [R12]
171 libjuan.so:80503258 03 00 52 E1 CMP             R2, R3
172 libjuan.so:8050325C 2C 00 00 1A BNE             loc_80503314
173 libjuan.so:80503260 5B DF 8D E2 ADD             SP, SP, #0x16C
174 libjuan.so:80503264 F0 8F BD E8 LDMFD           SP!, {R4-R11,PC}
175 libjuan.so:80503268             ; 
176 
177 ---------------------------------------------------------------------------
178 libjuan.so:80503268
179 libjuan.so:80503268             loc_80503268                            ; CODE XREF: 
180 
181 libjuan.so:__gnu_arm_flush+364j
182 libjuan.so:80503268 05 00 A0 E1 MOV             R0, R5
183 libjuan.so:8050326C 0C 10 85 E0 ADD             R1, R5, R12
184 libjuan.so:80503270 69 FE FF EB BL              sub_80502C1C
185 libjuan.so:80503274 06 00 A0 E1 MOV             R0, R6
186 libjuan.so:80503278 96 FD FF EB BL              unk_805028D8
187 libjuan.so:8050327C 01 60 A0 E3 MOV             R6, #1
188 libjuan.so:80503280
189 libjuan.so:80503280             loc_80503280                            ; CODE XREF: 
190 
191 libjuan.so:__gnu_arm_flush+208j
192 libjuan.so:80503280 05 00 A0 E3 MOV             R0, #5
193 libjuan.so:80503284 A1 11 00 EB BL              AnitDbg_0               ; 反调试,查看是否有
194 libjuan.so:80503284                                                     ; gdb strace ltrace 
195 
196 android_server程序
197 libjuan.so:80503288 04 C0 9D E5 LDR             R12, [SP,#4]
198 libjuan.so:8050328C 00 00 94 E5 LDR             R0, [R4]
199 libjuan.so:80503290 38 10 8D E2 ADD             R1, SP, #0x38
200 libjuan.so:80503294 00 00 8C E0 ADD             R0, R12, R0
201 libjuan.so:80503298 94 FD FF EB BL              strstr
202 libjuan.so:8050329C 00 00 50 E3 CMP             R0, #0
203 libjuan.so:805032A0 05 00 00 0A BEQ             loc_805032BC
204 libjuan.so:805032A4 00 30 97 E5 LDR             R3, [R7]
205 libjuan.so:805032A8 0C 00 84 E2 ADD             R0, R4, #0xC
206 libjuan.so:805032AC 07 00 90 E8 LDMIA           R0, {R0-R2}
207 libjuan.so:805032B0 03 10 81 E0 ADD             R1, R1, R3
208 libjuan.so:805032B4 03 30 80 E0 ADD             R3, R0, R3
209 libjuan.so:805032B8 0E 00 87 E9 STMIB           R7, {R1-R3}
210 libjuan.so:805032BC
211 libjuan.so:805032BC             loc_805032BC                            ; CODE XREF: 
212 
213 libjuan.so:__gnu_arm_flush+324j
214 libjuan.so:805032BC B0 33 D9 E1 LDRH            R3, [R9,#0x30]
215 libjuan.so:805032C0 01 80 88 E2 ADD             R8, R8, #1
216 libjuan.so:805032C4 28 40 84 E2 ADD             R4, R4, #0x28
217 libjuan.so:805032C8 08 00 53 E1 CMP             R3, R8
218 libjuan.so:805032CC A6 FF FF CA BGT             loc_8050316C
219 libjuan.so:805032D0 DC FF FF EA B               loc_80503248
220 libjuan.so:805032D4             ; 
221 
222 ---------------------------------------------------------------------------
223 libjuan.so:805032D4
224 libjuan.so:805032D4             loc_805032D4                            ; CODE XREF: 
225 
226 libjuan.so:__gnu_arm_flush+2B4j
227 libjuan.so:805032D4 10 30 9D E5 LDR             R3, [SP,#0x10]
228 libjuan.so:805032D8 08 C0 9D E5 LDR             R12, [SP,#8]
229 libjuan.so:805032DC 03 00 5C E1 CMP             R12, R3
230 libjuan.so:805032E0 E0 FF FF 0A BEQ             loc_80503268
231 libjuan.so:805032E4 48 30 9F E5 LDR             R3, =0xFFFFFF60
232 libjuan.so:805032E8 BF 2E A0 E3 MOV             R2, #0xBF0
233 libjuan.so:805032EC 00 60 A0 E1 MOV             R6, R0
234 libjuan.so:805032F0 03 30 9B E7 LDR             R3, [R11,R3]
235 libjuan.so:805032F4 00 20 83 E5 STR             R2, [R3]
236 libjuan.so:805032F8 D2 FF FF EA B               loc_80503248
237 libjuan.so:805032FC             ; 
238 
239 ---------------------------------------------------------------------------
240 libjuan.so:805032FC
241 libjuan.so:805032FC             loc_805032FC                            ; CODE XREF: 
242 
243 libjuan.so:__gnu_arm_flush+234j
244 libjuan.so:805032FC 30 20 9F E5 LDR             R2, =0xFFFFFF60
245 libjuan.so:80503300 BE 3E A0 E3+MOV             R3, #0xBEF
246 libjuan.so:80503308 02 20 9B E7 LDR             R2, [R11,R2]
复制代码


12.解压缩后再次dump出来保存为lfx1.Dump与原始的so比较,发现只有前4字节不一样了,如下图所示:


13.将第二次dump出来的lfx1.Dump文件的头4字节.lfx改成.ELF就成了,脱壳完毕。


14.总结: INIT_ARRAY--->解密第二层壳(JNI_OnLoad)---->解密原始so文件--->解压缩原始so的代码节


说明:虽然作者大牛,脱壳的360 so加固是2015年年初的版本,但是作者脱壳so加固的思路还是值得好好学习的,尽管后面的so加固的反调试的方法和一些思路在变,但是手动研究so加固的脱壳思路还是在原来的基础上进行发现和研究的。谢谢作者大牛的分享。


转载链接:http://www.cnblogs.com/2014asm/p/4456438.html

你可能感兴趣的:(Android逆向学习)