360加固分析（一）

分析某个app，发现加了360的壳，

一 准备

调试之前的准备工作

adb shell am start -D -n 包名/MainActivity路径名

adb forward tcp:23946 tcp:23946

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

二 分析jiagu.so

加载完jiagu.so文件后，断在了linker区段

JNI_OnLoad处下断点断下后单步调试：_Z9__arm_a_1P7_JavaVMP7_JNIEnvPvRi ——> _Z9__arm_a_0v
——> _Z10__fun_a_18Pcj
函数 _Z10__fun_a_18Pcj流程图：

switch语句总共有四十多个case，不知道哪个是关键，全部case分支都下断点，n次F9后发现每一次分发都会经过case41。在加载完jiagu.so后，跟踪mmap函数，没有跟出内存中解密释放dex文件就已经崩溃了，所以还需要通过反调试。

三 反调试

单步调试，在 中发现了这个

当R1与0x40000000结果不为零时会跳转到R4，R4此时为退出进程或者堆栈平衡检查失败等函数，需要注意。

第n次进入case31时，BL LR跳转到这里

读取/proc/self/maps，循环对比每次获取到的模块信息，是否包含“/system/bin/linker”，然后手快F9过了。。。

• TracerPid
  继续F9，每次进入Case31分支都需要查看或进入bl Lr。
  第N次bl lr指令，LR:_Z10__arm_a_20v：
  
  读取/proc/pid/status文件中的TracerPid字段值
  循环获取本进程的status信息，adb命令对比查看：cat /proc/xxxxx/status
  
  

获取到tracerID后则跳出循环压栈保存，之后又是N次F9，
或者暂时去除case31外断点。再一次在case31断下。

此时r0为TracerPId，如果id不为0说明正在被调试，我把他修改为0。

同时查看LR寄存器地址为函数strtol，字符串转整形。

• 端口检查
  打开/proc/net/tcp 获取文件指针，每次获取一行对比是否包含调试默认端口5D8A（23946），所以开启android_server时设置自定义端口为23333。