国服Cytus2解密与注入

请移步 我的新博客 进行浏览

目标

国服Cytus2是Unity3d游戏,未采用il2cpp运行时,而是mono。这给Cytus2自制(导入自行制作的关卡)留下可能。
目标:修改Assembly-CSharp.dll并成功运行新增的代码。

资源

本文以com.ilongyuan.cytus2.ly.TapTap-2300.apk为对象,版本为2.3.0。
其余使用IDA 7.0,一部root安卓手机(本人型号Mi 6, 8.1, LineageOS 15.1)。

写在前面

仅供学习使用,任何用于非法用途后果自负。
本文主要用于记录2019年初的移动应用安全手段。
本文省略的技术都可以被百度到。
文章对libjiagu.so的分析实际上对实现目标并无作用。

Step 1

安卓机设为全局debuggable。
安装Taptap与游戏。
复制apk到电脑上,用ApkTool Box解包。
先看Assembly-CSharp.dll,显然是被加密了。
国服Cytus2解密与注入_第1张图片
首先是文件头被改了,mz可以作为一个突破口。其次应该是分段表被加密了。后面还知道所有的il指令全部被改写。

Step 2

看了一下libjiagu.so,应该是一款360企业版壳。从这里开始,笔者着手开始研究libjiagu.so的行为,实际上是走上了弯路,对于目标来说,没有什么必要,你可以跳过这一章节。
连接手机到电脑,手机上装好debugserver,libjiagu.so扔进IDA分析好,然后给Cytus2安排上

adb shell am start -D -n "com.ilongyuan.cytus2.ly.TapTap/com.ilongyuan.cytus2.remaster.MainActivity"

定位到JNI_OnLoad,先下个断点。
国服Cytus2解密与注入_第2张图片
先打开Android Device Monitor。

H:\AndroidSdk\tools\monitor.bat

国服Cytus2解密与注入_第3张图片
然后设置一下端口转发,并启动手机端的debugserver(在IDA目录dbgsrv,建议改个名字,这里随便改了个yy,然后放到手机里,并赋予执行权限)

adb root
adb forward tcp:23947 tcp:23947
adb shell /data/data/yy -p23947

国服Cytus2解密与注入_第4张图片
然后IDA连接到手机的dbgsrv,注意端口号不要23946,如上,23947或其他都行。

国服Cytus2解密与注入_第5张图片
国服Cytus2解密与注入_第6张图片
国服Cytus2解密与注入_第7张图片
国服Cytus2解密与注入_第8张图片
这个一律YES,其他提示如不特别说,都是YES。
国服Cytus2解密与注入_第9张图片
然后等IDA加载完成,停在libc之后,attach jdb让进程恢复运行。

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

这个一律SAME。
国服Cytus2解密与注入_第10张图片
这样就停在最开始那个JNI_OnLoad断点了,可以开始分析一番。
国服Cytus2解密与注入_第11张图片
废话不多说,一路跟进
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
来到了重要的地方,这里程序将完成一系列反调试,反动态分析的手段。
国服Cytus2解密与注入_第12张图片
经过长时间的跟踪分析,具体是在case 31进行的。
国服Cytus2解密与注入_第13张图片
在这里下个断,先不急着恢复运行,在Module表中找到linker。
国服Cytus2解密与注入_第14张图片
找到rtld_db_dlactivity,稍后程序第一步反调就是判断这里是否被设为断点指令。
国服Cytus2解密与注入_第15张图片
双击进入
在这里插入图片描述
把0x10 0xDE改为0x00 0xBF(nop),以后每次重新调试都得改。
现在可以恢复执行了。
国服Cytus2解密与注入_第16张图片
断点命中,跟进去看看干了些什么。由于我以前跟的是2.1.1版本,2.3.0好像没什么改变,且比较费时,这里只说明反调手段及反制措施。先退出调试。
0.gettimeofday,后面还会进行一次,目的就是判断是否被调试了,被调试运行时间一定会非常长。反制手段就是直接返回0。
国服Cytus2解密与注入_第17张图片
1.两次memcpy,两次解码(xor5A,按位取反,程序内重要字符串被简单加密了),及后续操作是判断linker中的rtld_db_dlactivity是否为0xDE10。反制措施如上。
国服Cytus2解密与注入_第18张图片
2.获取TracerPid,判断是否有调试器。反制措施:
国服Cytus2解密与注入_第19张图片
修改strtol为返回0,即

mov r0, #0 
mov pc, lr
nop

国服Cytus2解密与注入_第20张图片
3.获取tcp,判断23946端口是否被占据(即IDA)。反制措施就是改为其他端口,我寻思这是防小白?
4.fork结合raise假信号迫使IDA出错,解决方案就是raise直接返回,并且把调用fork的地方给nop了。
国服Cytus2解密与注入_第21张图片
可见子进程继续运行,父进程死于非命。sub_CAAC9E00就是signal
国服Cytus2解密与注入_第22张图片

ret = mov pc, lr

5._ZN3art3Dbg15gDebuggerActiveE,这个字符串是被加密的,不太好找,建议用010Editor全文件xor5A,Invert后定位,然后记录偏移量,在IDA中定位即可。如果你不是art,那么dalvik同理。
在这里插入图片描述
我寻思这和2.1.1一毛一样的位置。
即便找到了,那么判断的函数还是不好定位,这里得解除以上几步之后,自己跟,发现会跳转到这里
国服Cytus2解密与注入_第23张图片
注释是我自己加的,那么很简单,把函数跳转的地方nop就好了
国服Cytus2解密与注入_第24张图片
6.检查cmdline,这里会检查一些莫名其妙的东西
国服Cytus2解密与注入_第25张图片
判断是否有这些东西,我就没管
7.顺便把调用thread_create的地方给nop了,实际上我不知道是否创建线程进行反调了。
国服Cytus2解密与注入_第26张图片
8.除此之外,我还直接返回了exit,kill,time等函数,不知道效果。
把这些都改好之后,Apply Patched Bytes,然后把改过的libjiagu.so放到手机里,开始调试新的libjiagu.so。
在这里插入图片描述
在case 35也放置一个断点
在经过反调之后,libjiagu会解密,解压,释放新的elf,修复分段表,然后将程序移交新elf,进行jni native层的函数注册等操作。
不得不承认,这超出了我的能力,而且新的elf我也没找到好方法动调。
开始运行,一路F7 F9,在这里解压
国服Cytus2解密与注入_第27张图片
这里dlopen之后进入释放的JNI_OnLoad
国服Cytus2解密与注入_第28张图片
这里就是释放的elf,经过分析是真的JNI_OnLoad,注册了native层函数,并且还进行了一些签名校验,如果想要破解应该从这里入手。因为和目标无关,暂且收手,开始寻求新的思路。
国服Cytus2解密与注入_第29张图片

Step 3

用jadx看一下java层代码
国服Cytus2解密与注入_第30张图片
可见libjiagu在native层完成注册后,加载了libmono。
libmono经过分析也是自己编译的版本。
国服Cytus2解密与注入_第31张图片
这个libmono和libjiagu一样,只不过没有任何反调试手段,但是最后也会释放真正的libmono,并加载,以保证unity的正常运行。用同样手段,可以在uncompress函数处找到解压后的数据地址,并且dump出来,加以分析。然后可以再进行动态调试,在获取被加载的基地址之后,跳转过去,然后下断点即可。
要进行dump,我们需要加入一段代码等待调试器接入,反编译classes.dex,与2.1.1不同的是,2.3.0有3个dex文件,不过不影响,打开com.stub.stubApp的smali,在loadLibrary前添加waitForDebugger

:try_start_1 
invoke-static {}, Landroid/os/Debug;->waitForDebugger()V  
const-string v0, "mono"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
:try_end_1

压缩新的classes.dex到压缩包,复制到手机中进行安装,需要先使用Lucky Patcher解除签名验证和zip校验。
然后对libmono进行调试,注意设置Debugger Options
国服Cytus2解密与注入_第32张图片
点开修改的Cytus2,应该处于黑屏状态,随后IDA attach,恢复运行,然后jdb attach。
国服Cytus2解密与注入_第33张图片
可见libmono已被载入
国服Cytus2解密与注入_第34张图片
定位到他的JNI_Onload
国服Cytus2解密与注入_第35张图片
没有反调试,一路跟到uncompress
国服Cytus2解密与注入_第36张图片
uncompress定义如下

uncompress(outbuf, &outbufsize, inbuf, filesize);

因此,记录一下outbuf的地址和大小即可
在这里插入图片描述
导出脚本

import idaapi
data = idaapi.dbg_read_memory(0xd4c00000, 0x486444)  
fp = open('H:\\Cytus\\mono_full_dump.bin', 'wb')
fp.write(data)
fp.close()

在这里插入图片描述
前0x7098字节不知道是什么,把他先去掉,放进IDA进行分析。
我们需要一份正常的libmono作为比较,Cytus2是Unity2017.4.5f1,应该能随便找一份拿来比较,毕竟差异不大。
经过分析libunity.so得知,是通过调用mono_image_open_from_data_with_name来加载托管dll的。经过搜索"data-%p"可以很轻松的在dump中发现位置。
国服Cytus2解密与注入_第37张图片
接下来的工作很枯燥,就是递归是地对比,把符号从正常的libmono中复制到dump中,通过比较发现有以下函数被修改:
在这里插入图片描述
modified是我的标记,意思是和原函数有很大不同,不过最大的不同如前文所说,是整套il的更换
在这里插入图片描述
也是我自己做的标记。
既然函数找到了,我们就可以开始动调了。
找到偏移位置,在对应位置下断点,以本次为例,基地址D4A00000+7098
则函数mono_image_open_from_data_with_name位置D4BD8C68,跳转并下断点。

但是此时意外发生,2.3.0似乎增加了某种反调,原本能直接过到libunity加载,现在却不行了。于是对于2.3.0这条路也暂时行不通。

Step 4

还有最后一个方法:在libunity加载前下断点,直接分析libunity,然后跳转到释放的libmono。
国服Cytus2解密与注入_第38张图片
同理,在此处加waitForDebugger,然后把classes3.dex替换了,运行程序。
此时成功进入捕获到libunity.so的加载,我们只需要在他调用mono_image_open_from_data_with_name的地方钓鱼即可。
但是还是被kill了,我决定一探究竟
国服Cytus2解密与注入_第39张图片
突然想起来好像java层还有一些反调,我好像忘记清了…
则成功过了
国服Cytus2解密与注入_第40张图片
这个位置就是libunity调用libmono加载托管dll地方,位置可以搜字符串得到
国服Cytus2解密与注入_第41张图片
F7进入
国服Cytus2解密与注入_第42张图片
则基地址可以求得:
在这里插入图片描述
D5A51BD0 - 1D1BD0 = D588 0000‬
这样其他函数地址都可以求得了
我们知道Assembly-CSharp.dll的文件头是mz,不是MZ,观察R0,直到发现它
在这里插入图片描述
经过几十次的F7,终于找到了,期间如果遇到SIGPWR,SIGXCPU可以Pass,不必惊慌
国服Cytus2解密与注入_第43张图片
那么我们对照着正常的libmono一步步看
国服Cytus2解密与注入_第44张图片
国服Cytus2解密与注入_第45张图片
对照两图,基本上一目了然,跟入do_mono_image_load
国服Cytus2解密与注入_第46张图片
既然Assembly-CSharp.dll的文件头被改为了mz,那必然有鬼。对dump出来的dll进行分析,符号表自然是不存在了,但是mono是开源的,于是可以对照着正常的libmono进行对比,看看哪里有鬼。比如搜一下mz这种东西,一定能看出端倪。
我的前期比较显示,一共有两个地方和正常的不一样。和dll也一样,一个是前面的分段表不一样,一个是中部的表流定义不一样
国服Cytus2解密与注入_第47张图片
那么我们一个一个来
国服Cytus2解密与注入_第48张图片
这里就完成了section table的解密工作,前面的109 122就是mz的判断。
国服Cytus2解密与注入_第49张图片
这是解密函数,可见是对一个字符串作循环异或,这点是静态分析看不出来的,于是我们可以做一个解密函数了。

        static void Main(string[] args)
        {
            byte[] bin = File.ReadAllBytes("./Assembly-CSharp.dll");
            DecryptSectionTable(bin);
            File.WriteAllBytes("./Temp.dll", bin);
        }
        static int DecryptSectionTableInternal(byte[] k, byte[] bin, int pos, byte length, byte p)
        {
            int kp = 0;
            for (int i = 0; i < length; ++i)
            {
                bin[pos + i] ^= k[kp++];
                if (kp == k[8]) kp = 0;
            }
            for (int i = 0; i < length; ++i)
            {
                byte newk = bin[pos + i];
                newk ^= p;
                k[i] = newk;
            }
            k[8] = length;
            return pos + length;
        }
        static void DecryptSectionTable(byte[] bin)
        {
            byte[] k = { 0x6d, 0x70, 0x7a, 0x65, 0x65, 0x7a, 0x70, 0x6d, 0x08 };
            int pos = 0x178;
            for (byte i = 0; i < 3; ++i)
            {
                pos = DecryptSectionTableInternal(k, bin, pos, 8, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 2, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 2, i);
                pos = DecryptSectionTableInternal(k, bin, pos, 4, i);
            }
        }

这样分段表便能解密成功。
剩下这个部分
在这里插入图片描述
地址可以通过计算RVA得到,由于该段落在.text里,则地址为
国服Cytus2解密与注入_第50张图片
ADDR = VirtualAddress - PointerToRawData + cor20.Metadata.VirtualAddress + MetadataHeader.pools[0].ioffset
不小心碰了下屏幕触发了ANR,在这里提醒一定不要碰屏幕,不然凉凉,得重新进
国服Cytus2解密与注入_第51张图片
这里判断是否需要解密,如果是正常的,那么这里是
在这里插入图片描述
但是事实上这里被加密了,则
在这里插入图片描述
因此开始研究一下解密
国服Cytus2解密与注入_第52张图片
360便是在reserve里做文章。
初步看了一下,就是把maskvalid和sorted8字节按位异或即可,其他的操作没有深入研究。
至此,扔进dnSpy就可以读了。不过方法体都是空的,因此指令一定是被加密了。
国服Cytus2解密与注入_第53张图片
继续分析,il执行机制,可以发现il的编译就是在这个巨型函数里实现的
国服Cytus2解密与注入_第54张图片
不过360比较骚,请看
国服Cytus2解密与注入_第55张图片
函数名称是我做的标记,意思就是360自己把il转换了……这着实让人头大。
不过办法总是有的,既然是基于switchcase,那么我把这两个函数的反汇编进行了比较,还写了一个简陋的程序
国服Cytus2解密与注入_第56张图片
就这么手工比较,也就两个小时 不到对应关系就找出来了,那么我们开始转义为原il~
首先转义之前,il是被加密了
国服Cytus2解密与注入_第57张图片
密钥需要动调到这里进行获取,也是按位异或,位置20454C自己计算一下。
国服Cytus2解密与注入_第58张图片
是不是很熟悉?
完了之后还要整体异或0x30,所以还是挺复杂的
国服Cytus2解密与注入_第59张图片
我们有了解密方法,转义方法,按照函数表的il指令位置一条条转换就可以了。
最后一步就是定位Method表,那么也很简单,甚至你手动定位一下就行。
国服Cytus2解密与注入_第60张图片
最后就是见证奇迹的时刻,运行!
国服Cytus2解密与注入_第61张图片
国服Cytus2解密与注入_第62张图片
放进dnSpy
国服Cytus2解密与注入_第63张图片
所有指令还原成功!

Step 4

注入环节就更简单了,写C#就完事了,由于2.1.1我已经写过了,2.3.0我就不重新写了,效果都是一样
请看:视频
这是2.1.1注入的截图
国服Cytus2解密与注入_第64张图片
只要你把文件头改回MZ,那么具体执行起来就会使用原来的il转换,意思就是替换就完事了。
但是具体执行之后我发现有时候会出现invaild il code和堆栈问题,不过使用dnSpy重新编译一下就好了,不知道为什么。

写在最后

2.1.1用了我10天,即便是重新2.3.0,也花了我1天时间,虽然我认为这个加固已经可以了,但是山外有山,学习不能停啊
向所有安全研究人员致敬!

你可能感兴趣的:(逆向)