《2015移动安全挑战赛》第三题的APK脱壳解法
0x1:首先,发现lib文件夹下有libmobisec.so,libmobisecy.so,libmobisecz.so三个文件。a.仔细观察,libmobisecy.so是一个zip包,里面存放了一个classes.dex文件,这dex文件里所有的函数代码都被改成throw new RuntimeException();
b.发现libmobisecz.so是一个非so文件的数据文件,其实里面存放的就是classes.dex被偷的代码和一些要修改的code0ff偏移地址(该文件经过lzma压缩,rc4加密)。
0x2:脱壳思路,其实只要把libmobisecz.so这个把解密后的数据给dump出来就行了,然后再根据里面的数据再把classes.dex给修复一下就行了。
1.动态调试去anti
000111BC 19 D6 01 EB BL sub_86A28 //这个函数就是在做各种anti的功能,把这个函数给nop调,就可以各种调了,nop方法把字节码19 D6 01 EB改成00 00 AO E1 (其实就是mov r0, r0)
2.dump解密后的libmobisecz.so文件
a.libmobisecz.so要解密,首先肯定得打开文件, 所以在open函数下断点, 观察LR返回连接寄存器是不是在libmobisec.so,如果是,再看 R0寄存器的地址内存是不是libmobisecz.so文件的路径,是的话,就在LR寄存器的地址下断点,运行一下,然后往下跟,就能看到RC4解密和lzma解密了,然后解密后的libmobisecz.so给dump下来,等后面修复用。
b.接着在mprotect函数下断点,可以看到已被修改过classes.dex文件,dump下来后odex文件(把odex头去除)和之前的classes.dex比较,能发现有57处codeoff需要修复!
0x3:修改classes.dex文件
a. 从解密的libmobisecz.so文件里能发现偏移+0x9,用readLEB128转一下为0x1e50(存放classes.dex第一个code_off地址),然后观察一下偏移处+0xBC为第一个DexCode结构数据。
这样code_off起始地址有了,修复多少处codeoff也有了,DexCode结构数据,接下来就是修复了...
b.修复classes.dex文件直接套用万抽抽大牛的python脚本修一下下就可以用了。
附件为比赛第三题的APK文件,解密后的decrypted_libmobisecz.so文件,修复python脚本,和脱壳修复后的dex。
ps:更新一下解密脚本,还得再修复一下annotation偏移
感谢楼主分享,《2015移动安全挑战赛》第三题的APK脱壳解法
OK,结果出来了,上面是原来的指令MOVS R0, R4机器码为20 1C,下面为修改后的指令MOVS R0, #1机器码为01 20。
好吧,UltraEdit久等了,谢幕就由你来吧(其实这才是最后的利器)!打开libillyb.so,Ctrl-G跳转到IDA中显示的修改地址,核实无误将20 1C修改为01 20,保存,libillyb.so复制回lib目录,编译运行,提示注册成功了,请注意注册成功后下面的按钮也变了。 头一次前排 先顶再看 膜拜大牛,拿第几名? 分析了不错,支持一下 厉害,学习学习,希望自己以后也有机会参加 学习了,谢谢分享~! 先膜拜一下! 感谢分享经验 向大牛学习一下。