加固厂商SO的加壳,一般都是采用UPX壳实现的。如果用原生的进行加壳,可以使用原生UPX进行脱壳。但是对于定制的UPX壳使用原生UPX是无法脱壳的。定制版的UPX一般有以下2种形式:
1 将里面的魔术字符串改掉。下图是UPX源码中定义的魔术字以及修改后的例子:
源码中的魔术字 修改后的例子
2 加密算法改掉或数据结构进行更改。
这里讨论是如何手脱一个定制的UPX壳,尤其是更改加密算法或者数据结构的定制的UPX壳(以AJM为例)。先看一下脱壳后的样子:
脱壳前 脱壳后
二 UPX壳loader
加壳一般需要加密和解密2个过程,UPX壳也不例外。UPX壳的解密是由 upx loader实现的。在UPX加壳过程中,将loader放在init段,确保loader先获得程序执行的控制权。
Loader程序是由汇编代码实现的,下面是upx源码中针对arm平台的汇编代码:
在 dynamic段中,init标志值为:0x0C,见下图:
下面是loader在dynamic中的位置:
当loader开始运行时的步骤如下:
从loader执行流程可以看到如下:
1、loader是由汇编代码内嵌实现的,因此要解决重定位的问题,所以其中的函数调用都是使用系统调用实现的,比如mmap 以及mprotect等函数。
2、loader 程序要将加密数据解密,解密后的数据要覆盖加密数据。
3、由于upx使用的是压缩算法,因此解密后的数据会比加密的数据大,此时loader程序也会被解密后的数据覆盖,所以loader在解密前要拷贝到内存中执行。
三 linker加载so
Android系统的linker加载是通过dlopen函数实现的。以4.4源码为例如下:
四 手脱UPX壳的原理
前面说加壳一般需要加密和解密2个过程,UPX壳也一样。我们手脱指的是不用研究加密算法,动态脱壳。当upx的loader执行完后,代码也解密完成了,并且加密的数据被解密后的数据覆盖,是否可以直接在这个时间点,将SO从内存中dump出来就可以了呢?
确实可以在这个时间点将so从内存中dump出来,但是只有这样是不行的,需要解决以下4个问题:
● 由于此时代码已经重定位完成,dump后plt段等信息已经包含了重定位后的信息,也就是绝对地址,此时静态用IDA打开,很多函数都无法识别。
● Segment段中的Load段需要恢复,UPX加密后将原始的load段的大小由原来的加密前的大小改成了加密后的大小,因此需要修复。
● Segment段中的 dynamic段在文件中的偏移需要修复。UPX将dynamic在文件中的偏移改变了。
● section 段修复。对于section段的修复论坛里面有很多,这里就不讲了。
因此解决了前面三个问题就可以实现手脱UPX壳了。
1 解决重定位的问题
我们的目标是手脱UPX壳,因此我们可以将linker中执行重定位代码nop掉,就是不让linker执行重定位的操作,自然PLT等段中就不会带有重定位的信息。
通过前面分析linker加载so的过程,soinfo_link_image调用soinfo_relocate实现重定位,下图是源码中相关调用:
下面是在linker中的对应的汇编代码( 对于如何找到对应汇编代码,只要在IDA中搜索字符串“[ relocating %s plt ]”就可以找到):
直接将上面的对sub_1464函数改成对应的”c0 46 c0 46”(thumb nop指令) 就可以。我们知道如果SO本身又调用了其他的SO,此时会优先加载其他的SO,因此注意nop的时机,避免将不是UPX壳的其它SO重定位也执行不了。
2 如何恢复segment段的load的大小
我们知道upx壳的loader会对加密的数据进行解密,解密后的数据大小,就是对应load段的大小。
下面是UPX壳部分数据排列顺序:
下面是对应SO文件init入口数据:
l_info p_info b_info结构大小都为12个字节,如下:
根据上面的loader地址我们知道第一个l_info结构的地址为0x6508。见下图:
我们先不关心l_info和p_info结构,我们只关心b_info结构。对于b_info结构,第一个成员是压缩前的大小,第二个成员是压缩后的大小。因此我们可以通过b_info获取到被压缩数据的压缩前的大小:
从上图可知,第一个b_info结构对应的压缩块:
● 压缩的前大小为:0x154
● 压缩后大小为0xA2
这个块是对应ehdr和phdr的,我们跳过这个块,到达第一个load段对应的b_info结构。其地址为 :0x652C+0xA2 = 0x65CE,见下图:
从上图中对应的b_info结构,我们知道第一个load段压缩前大小为:0XDDC58。
3 内存dump的时机
我们必须在UPX解密后,并执行原始SO的init前进行dump。因此我们就在linker执行完第一个init函数,也就是upx的loader函数后开始dump。因此断点的位置下图中的0x274A位置:
4 修复load段
将上图中第一个load段的0x8B290改为我们之前获得0Xddc58。同时将第二个段的文件偏移和虚拟地址偏移改成一样,都为E5C60。
5 修复dynamic段
对于UPX壳,原始的dymic段的文件位置被修改了,但是对应加载后的内存的位置并没有修改,因此我们直接将其在文件中的偏移改成与内存偏移一致就OK。如下图:
将0x8E888改成0xE6888。
四 总结
1 将linker中的 soinfo_link_image函数中对soinfo_relocate调用 NOP(避免重定位造成内存dump后IDA分析问题)
2 在upx init(loader)入口处找到第一个l_info地址,从而获取到第一个b_info结构地址;
3 跳过第一个b_info对应的压缩数据块,到下一个压缩段的b_info;
4 从b_info结构中获得压缩前的大小;
5 执行完upx的解压后,从内存中dump UPX壳;
6 将第一个load段的文件大小 虚拟地址大小,物理地址大小都改成压缩前的大小;
7 将第二个段的文件大小,虚拟地址大小,物理地址大小都改成相同;
8 将dysmic修正(将文件偏移改成与虚拟地址偏移一致);
9 将sht清0(后者在文件结尾找个位置,同时将sht_size清0)。(也可以根据dynamic修复)。
转自:https://bbs.pediy.com/thread-221997.htm