申请会员ID: hx71037
-------------------------------------------------------------------------------------
1、申请ID:hx71037
2、个人邮箱:695876649@qq.com
3、文章:爱加密脱壳分析
-------------------------------------------------------------------------------------
文件名称:久秒名片赞系统包名:android.support.v8大小: 1497829 bytesMD5:8123AC1150B47EF53507EC2360164E3BSHA1: 958B1E341C72DBCF52863C570B77C71A862987B1描述:爱加密有反调试功能,无法直接给关键函数下断点,所以 只能单步跟踪到它检测反调试的地方修改比较值,从而跳 过反调试。壳程序通过读取进程文件(/proc/uid/status) 中的racerPid属性来确认自己是否被调试,该属性如果不 为0则说明程序是被调试状态。如果要获取该文件的值那么 必然是有读写操作的,通过在读写函数地方下断点,就可以 修改它的值从而骗过反调试。即只要在fopen和fgets处下断 点单步跟踪就可以了(函数在libc.so)。调试准备:1) 准备调试环境安装IDA Pro 服务器: adb push android_server /data/local/tmp设置服务器运行权限:cd data/local/tmp/ chmod 777 android_server运行服务:adb shell & cd /data/local/tmp &./android_server设置端口转发:adb forward tcp:23946 tcp:239462)调试运行adb shell amstart -D -n android.support.v8/android.support.v7.q4488700153)IDA 附加进程调试 Debugger-> Attach Ctrl+F搜索 android.support.v84)函数下断点 Modules中搜索 libc.so 给fopen,fgets下断点 Modules中搜索 libdvm.so 给dvmDexFileOpenPartia 下断点5) jdb调试 打开monitor 鼠标选中要调试的进程(android.support.v8) jdb–connectcom.sun.jdi.SocketAttach:hostname=localhost,port=8700调试环境中出现问题的解决: IDA附加程序时显示目标积极拒绝则 重新输入端口转发命令。 IDA附加程序弹出错误则 重新运行IDA服务器命令 IDA F9运行程序如果没有反应则 检查是否输入jdb调试命令。 因为该程序是加壳的锁机软件,所有调试过程中难免会因为错误步骤让程序运行起来从而导致锁机, 这时可以运行adb uninstall android.support.v8卸载锁机软件(注意:在手机被锁后切勿拔掉usb数据线)。
调试: 环境准备好后按F9 开始运行程序,这时会断到我们下断点的地方。 此时 R7寄存器中有值 /proc/self/cmdline.debug.atrace 使用adb查看 继续F9 运行让程序再次断在fopen函数处。在运行的过程中可 能出现如下错误提示,忽略它继续运行。 程序再次断在fopen函数处,这时 R7寄存器中的值
即 /proc/11446/status,从这里开始壳程序开始读取status文件 检查自己是否被调试跟踪了。继续F9运行。程序会断在fgets函数处, 这时我们在函数结束处下断点。查看函数返回值,如果是TracerPid属 性则修改值为0。 程序运行到函数末尾断点处,此时查看R0寄存器的值
即Name:roidd.support.v8 通过查看status文件可以知道,这个值是文件内第一行的字符串
从这里就可以知道程序还需要在运行5次才能读到 TracerPid属性 F9运行5次,在次查看fgets函数返回值 Tracerpid:11465 这个值正是IDA服务器进程的UID 在Hex View中按F2修改这个值 这里要注意,修改的颜色是橙黄色,但是还不能使用,必须在按F2应用才行。 修改完之后,再次F9运行程序。 在次断在fopen函数处,此时R0寄存器的值
可以看到,壳程序再次读取/proc/11446/status 文件。显然反调试 不是只有一次的,那么继续修改它的返回值,直到不再读取这个文件。 通过再次修改,壳程序不再读取 /proc/11446/status文件了。说明它 的反调试就比较了两次,那么现在就可以去掉fgtes断点按F9让程序跑 起来了。 程序断在了这个函数处,这说明壳开始解密dex了同时证明前面已经成 功欺骗了反调试,继续单步观察寄存器中的值。 R0寄存器中保存着dex在内存中的地址,R1寄存器中保存着dex文件的大小。 通过Hex View 查看内存 内存中已经显示 0A 78 65 64 dex文件头模数了,右边字符串同样显示着dex.035。 红框中 06 FD 00 和R1寄存器的值一样。已经得到了dex内存地址和大小,接着使 用IDA脚本dump出这个dex文件。 static main(void)
{
auto fp, begin, end, dexbyte;
fp = fopen("F:\\dump.dex", "wb"); //打开或创建一个文件
begin =R0; //dex基址
end = begin + R1; //dex基址 + dex文件大小
for ( dexbyte = begin; dexbyte < end;dexbyte ++ )
{
fputc(Byte(dexbyte), fp); //按字节将其dump到本地文件中
}
} 文件保存在了F盘,使用工具打开这个dex文件 从哪复制过来的,好乱啊,是原创吗?
页:
[1]