360官网脱壳分析-2017-04-04
转:http://www.52pojie.cn/thread-595960-22-1.html
|
网上已经有很多360的脱壳教程了,看了好多后就想自己动手调试下。感谢各位大神无私分享的文章,本菜才能顺利过掉反调。本人是初涉逆向, 水平有限,秉着学习的目的,发帖分享自己的逆向学习过程,肯定会有些错误或分析不正确的地方,欢迎大牛指正,赐教,本菜鸟不胜感激。只是可以dump出 dex,还无法进行还原、安装运行。onCreate函数被动态注册为native,可以在so中找到注册的地址,可以结合静态和动态调试,有时间的话会继续研究下去。 第一 过反调试 主要在JNI_Onload函数的case 29,case33上下断点 1、 第一处反调试,应用调试的特性参考文档http://www.evil0x.com/posts/26301.html 2、映射linker 3、查看并修改符号rtld_db_dlactivity的值 0x2B= open("/system/bin/linker");第一处反调试 length= lseek(0x2B,0,SEEK_END); lseek(0x2B,0,SEEK_SET); mmap(NULL,0,1,2,0x2B,0) 在程序头表中查找第一个PT_LOAD段的p_vaddr 找到PT_DYNAMIC段 = r3 =0x0000FED4 r1= 基址+0x0000FED4 在动态段查找DT_STRTAB偏移为0x00000258 ,计算内存偏移 DT_SYMTAB偏移为0x00000168 ,计算内存偏移 找到符号rtld_db_dlactivity :基址+Elf32_Sym->st_value 查看0x400E3BF8内存地址的指令 将DE 10修改为nop指令 C0 46===>过掉第一处反调试 4、 第二处反调,此处LR的值为strtol,将其返回值修改为0,过掉第二处反调。 0x2E= open("/proc/self/status"); ; strstr(read(),"TracePid"); strtol(); close(fd) 5、第三处反调 fd =open("/proc/net/tcp");第三处反调试 read(); strstr(xxx,"00000000:5D84");0x5D8A=23946 调试的时候可以不用远程端口号,或者修改内存中的值过掉反调试 6、第四处反调 1)、文件监控线程, nop掉 将736E0DE8地址nop,过掉文件监控线程 pthread_create ===>sub_4B50 //第四处反调试 { inotify_init inotify_add_watch select } 2)、文件监控线程,nop掉 3)、文件监控线程,nop掉 4)、文件监控线程,nop掉 总共有四处启动文件监控线程的点。 8. 第五处反调360会time()函数,通过比较差值,判断程序是否被调试,简单点,可是在time()函数上下断点,让其返回相同的,固定的值。刚开始调试可能会花 费大量的时间在反调试上面,等熟悉了各个反调试点后,可以进行注入,hook这些函数,从而过掉反调试,会省去大量无畏的时间。至此反调试全部去掉,后边 就没有反调试了,进程开始原始dex的解密加载操作。 第二 dex解密、加载 1 、调试过程中,通过查看proc/self/maps中可以看出,反调试全部在libjiagu.so映射的段中,Dex的解密加载在debug_xxx段中,将这款内存整个dump下来,可 以 发现为elf文件,Elf头被抹掉,与section相关的信息被修改为无效的或抹掉,防止静态分析,使用ThomasKing大神的so修复工具,IDA就能正常打开, 静态分析了。 2、fopen(“/proc/self/maps”);进行匹配查找: /dev/ashmem/dalvik-classes.dex [email protected] .odex 分割出内存基地址,判断头是否为”dey”; 根据pDexHeader->dataSize+pDexHeader->dataSize找到qh开头的内存地址, 0x2DF为数据块的长度,其中存储了,加固app的相关信息,包括, 包名,Application、activity等和自身加载的一些信息。 解密后的文件 2、 解密dex数据 loc_EDF4() { BLsub_433E0{0x433FA j_j_tl_mmap -->分配dex空间, 长度 0x3274} BLX R12; --> //解密dex数据到前面分配的空间中//偏移0xEE14 { blxsub_36A88() ----------->0x353A4 { loc_36ADA() { sub_365A4() { sub_358F0() { loc_36156解密操作 } } } } } 此时的dex头,0x70个字节还是加密的 sub_46F6C() { //解密dex头,0x70个字节, } ------------------------------------------------至此dex完全解密到内存中------------------------------------------- 接下来自己构建,构建DexFile结构 进行系统版本属性的判断 getSystemContext(); getPackageInfo(); getPackageInfo(包名) RegisterNatives(DexFile_jcl,); { {"getClassNameList","(I)[Ljava/lang/String;",0xD791}RegisterNatives(StubApp2379654022); {"interface9","()Ljava/lang/String;",0x73921d79}, {"getAppkey","()Ljava/lang/String;",0x73901ad1}, {"mark","()V",,0x739185dd}, {"interface6","(Ljava/lang/String;)Ljava/lang/String;",0x738fde05}, {"interface7","(Landroid/app/Application;Landroid/content/Context;)Z",0x73901e99}, 。。。。。。。。。。。。。。 } RegisterNatives("onCreate","(Landroid/os/Bundle;)V",0x0000BD1D);可见onCreate可定是注册为native函数的,在so的偏移0x0000BD1D处,可以动态调试跟 进去看看 在so偏移0xA9B8处为解释执行switch 开始的地方,猜测应该是逐条指令进行解释执行的 附件会上传脱壳过程中用到的app和记录的文档,dump的so和dex,供大家学习,相互交流,共同学习。 |