网站 › 『移动安全区』 › 通过ida dump Uinity3D的加密dll

xiaobaiyey 发表于 2015-8-9 12:32

通过ida dump Uinity3D的加密dll

本帖最后由 Mr白白小武 于 2015-8-9 12:51 编辑

看了一篇文章：http://www.jianshu.com/p/5bba57045b09通过hook解密Uinity3D的加密dll，最近刚接触动态,于是就尝试了下能不能通过ida，像脱壳一样，dump出解密的dll文件，试了下，果然可以，在这里分享下工具：ida6.6 小米2s青龙*月刀（随便找的一款游戏）
解压app lib文件夹下的libmono.so ，拖入ida 主要还是在这个几个函数上下断点（可以参考mono的源码）mono_image_open_from_data_full
mono_image_open_from_data
mono_image_open_from_data_with_name
解密个过程可能在这几个函数的左右查看前面函数最终调用的还是mono_image_open_from_data_with_name，动态调试：如果app有反调试，还需要跳过饭调试，下面简单介绍动态调试的准备工作（网上有很多动态调试教程）推送android_server到手机
1：adb pushandroid_server /data/local/tmp/
2.:adb shell
3.cd /data/data/tmp/
4.chmod 777 android_server
5../android_server
端口转发：adb forward tcp:23946 tcp:23946
debug启动app
adb shell am start -D -n com.huiguan.qinglong.taiqi.dl/com.huiguan.qlyyd.UnityPlayerNativeActivity
查看此app PID
adb shell
ps |grep dl
记录下PID并转发下
adb forward tcp:8700 jdwp:PID
设置ida 并打开attach 上进程，
运行app
这个时候在cmd窗口上运行jdb调试：jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
这个时候可以调试了
运行app会断在linker上接着如果app没有反调戏：直接f9运行
出现下面这个窗口:点same稍等片刻，还会端在linker上，直接f9运行如果出现这个窗口，全部选择yes（pass to app）不用等待了后面可能会出现很多这个窗口全部选择yes 然后f9运行最终断在mono_image_open_from_data_with_name，方法上首次加载并非我们想要的dll直接跳过，下图断点关键函数上如果看不懂可以 f5 看下源码，这里直接f5 源码演示，他这里重写了momo的源码int __fastcall mono_image_open_from_data_with_name(int a1, char *haystack, int a3, int a4, char a5, char *haystacka)
几个关键性参数//nt a1 读取dll文件偏移地址// char *haystack ，dll文件的大小// char *haystacka ，文件名称这个时候跟随R1寄存器看到加密的dll文件的地址，说明dll还没开始解密，解密可能会在后面。单步向下走并注意各个寄存器的变化，经过一个简单的循环将dll解密了这个时候dll就在内存中解密了，这个时候已经可以dump了，查看寄存器窗口：找到R6和R11整个文件偏移的开始R6=7B95304C偏移地址的结束R6+R11=7B95304C+3AF200=7BD0224C使用；dump dex的脚本auto fp, dexAddress;
   fp = fopen(“D:\\test.dll”, “wb”);
    for ( dexAddress=0x7B95304C; dexAddress < 0x7BD0224C; dexAddress++ )
    fputc(Byte(dexAddress), fp);
run下就ok了解密出来的效果，个人博客：xiaobaiyey.com附上：原dll和解密dllhttp://pan.baidu.com/s/1c4P6Q

xiaobaiyey 发表于 2015-8-12 03:35

本帖最后由 Mr白白小武 于 2015-8-12 03:39 编辑

Chago 发表于 2015-8-11 23:24
这样好像dump不全所有dll，hook了mono_image_open_from_data_full、mono_image_open_from_data、mono_image ...
提供了 一个可行的思路，至少加密的dll应该没多大问题 当然用
libsubtrate.so可能方便点，还有就是很多dll都是这mono_image_open_from_data_with_name这个过程解密的的，也就是说，可能拿到的地址，是未解密的

Chago 发表于 2015-8-11 23:24

这样好像dump不全所有dll，hook了mono_image_open_from_data_full、mono_image_open_from_data、mono_image_open_from_data_with_name把地址长度打印出来，过滤一下，再从内存dd出来dll可能会dump得全的一点

微博2016 发表于 2015-8-9 12:36

第一次抢到沙发，O(∩_∩)O哈哈~

羅少 发表于 2015-8-9 12:56

前排围观。 出售瓜子矿泉水{:301_1000:}

K?☆mㄚì天 发表于 2015-8-9 13:06

精华帖 就进来看看~~

盈盈一水间cc 发表于 2015-8-9 13:20

很详细，给力

亿联网络 发表于 2015-8-9 13:28

不错，思路很好啊

lifi 发表于 2015-8-9 13:29

前排路过→_→

NCK 发表于 2015-8-9 14:59

前排路过→_→

谁的无聊中 发表于 2015-8-9 15:06

谢谢前辈，学习一下吧~~~

xx1055106557 发表于 2015-8-9 16:31

虽然看不懂，但是还是感觉好厉害

查看完整版本: 通过ida dump Uinity3D的加密dll