Android逆向——Android逆向进阶(1)
# 0x00 前言有价之宝:[戳这里](http://blog.csdn.net/qq_36869808/article/details/79290420)
无价之宝:[戳这里](http://blog.csdn.net/qq_36869808/article/details/79270225)
## 说明
最近同步分析ELF文件格式分析。
本文在大佬教学后进行笔记整理以及个人体会进行一个记录。
(http://blog.csdn.net/qq_36869808/article/details/79334437)
## 内容
1.so文件保护学习
2.自动吐出校验码
3.栈跟踪
4.adb简单调试
# 0x01 so文件学习分析。
## 准备好我们的demo
## 反编译
## 查看lib文件夹
我们找到了一个关键的so文件。这个so文件的含义就是壳的含义。
## egis.so逻辑分析。
### 打开ida。
这里有一个知识点。
JNI_OnLoad 的执行优先级是高于其他java输出函数。所以这里so文件就会执行这个函数,双击进行跳转。
### 分析
JNI_OnLoad
当Android的VM(Virtual Machine)执行到C组件(即*so档)里的System.loadLibrary()函数时,
首先会去执行C组件里的JNI_OnLoad()函数。
```
EXPORT JNI_OnLoad
LOAD:00001D28 JNI_OnLoad ; DATA XREF: LOAD:000003B4↑o
LOAD:00001D28
LOAD:00001D28 ; FUNCTION CHUNK AT LOAD:00001818 SIZE 00000018 BYTES
LOAD:00001D28
LOAD:00001D28 PUSH {R4-R7,LR}
LOAD:00001D2A SUB SP, SP, #0x14
LOAD:00001D2C STR R1,
LOAD:00001D2E STR R0,
LOAD:00001D30 BLX getpid
LOAD:00001D34 LDR R1, =(aLibegisSo_0 - 0x1D3C)
LOAD:00001D36 LDR R4, =(off_5F50 - 0x1D42)
LOAD:00001D38 ADD R1, PC; "libegis.so"
LOAD:00001D3A BL sub_15CC
```
在so文件里看到一个so的文件名。
```
"libegis.so"
```
这个就是自己本生的so名称,也就是说这里是自己调用了自己。
按f5进行查看。
发现这里进行一个调用。
进行上下文检查,发现了关键字符串
那么这个so的逻辑就是自我检测。
但是有一个问题就是这个so文件没有和java层进行交互,如果和java层不进行交互的话,那么这个so就没有意义。
但是还有一个可能就是这个so和其他的so有一定的联系。
## egis_security.so分析
我们接着打开 IDA进行egis_security这个so的分析
来看一下输出表。
这里就是java层的输出函数。
名称PayegisBarcode_decode,getZbarSoVersion
这里就是说这个so很有可能就是保护另外一个so文件的检验。
## 总结
那么就是说egis.so 自身保护自己。然后通过egis_security和java层进行交互,并且保护so。
相当于egis_security做了一个中间量,并且对进行交互的so进行了一个交互。egis.so 则是通过间接交互,来实现它的功能。
# 0x02 自动吐出校验码
## demo测试
## 反编译 分析
```
if-eqz v3, :cond_2
.line 43
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;
const-string v4, "\u6ce8\u518c\u7801\u6b63\u786e"
invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v3
invoke-virtual {v3}, Landroid/widget/Toast;->show()V
goto :goto_0
.line 45
:cond_2
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;
const-string v4, "\u6ce8\u518c\u7801\u9519\u8bef"
invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v3
invoke-virtual {v3}, Landroid/widget/Toast;->show()V
goto :goto_0
.end method
```
这里我们找到了一个相关的地方。
其实这个是重新写的,我作死,就没了。
不想啰嗦了。
向上查看。
```
invoke-virtual {v1, v0}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z
```
这里发现是两个寄存器的值进行比较。
v1和v0
我们继续向上看,v1存的是什么东西。
```
invoke-virtual {v1}, Ljava/lang/String;->length()I
```
我们找到这样一句话。
这句话就是说v1.length.计算字符串的大小。
为什么要计算大小呢?
```
if-nez v3, :cond_1
.line 38
:cond_0
iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity;
const-string v4, "\u8bf7\u8f93\u5165\u7528\u6237\u540d\u4e0e\u6ce8\u518c\u7801"
invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v3
invoke-virtual {v3}, Landroid/widget/Toast;->show()V
```
下面有判断说:如果是0的话就输出请输入XXX就是没有的意思,那么我们就知道v1寄存器里存的是我们输入的东西。
相对的v0,就是和我们输入比较的东西,也就是我们要输出的寄存器。
## 插入代码
```
invoke-static {v0}, Lcom/android/killer/Log;->LogStr(Ljava/lang/String;)V
```
我们输出v0寄存器里的值就可以了。
## 测试
# 0x03栈跟踪
## demo 测试
## 反编译分析
反编译之后找到这个位置。
```
.method private c()V
.locals 2
.prologue
.line 27
const-string v0, "who called me?"
const/4 v1, 0x0
invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v0
invoke-virtual {v0}, Landroid/widget/Toast;->show()V
.line 29
return-void
.end method
```
这个的含义就是让你去判断是谁调用了c。
那么我们就要进行一个对栈进行打印了。
## 堆栈打印
```
new-instance v0, Ljava/lang/Exception;
const-string v1, "HAI-------print trace"
invoke-direct {v0, v1}, Ljava/lang/Exception;-><init>(Ljava/lang/String;)V
invoke-virtual {v0}, Ljava/lang/Exception;->printStackTrace()V
```
通过这四句来对堆栈进行一个打印。
## 回编译测试
这里输出结果就是 c,b,a。
但是栈有一个特点就是先进后出。
所以正确的顺序就是 a,b,c
所以很明显就是 a调用b,b调用c。
# 0x04 DDMS方法追踪
## 工具说明
夜神模拟器
## first adb命令
首先进行连接adb
```
adb connect 127.0.0.1:62001
```
然后使用adb shell进行检测
这样就是连接成功了。
我们使用adb进行apk的安装
打开ddms。
## second ddms调试
因为虚拟机有问题,所以这里使用真机进行测试。
真机打开软件。
首先建立过滤规则。
进行简单过滤设置。
选择进程,然后点击这个按钮
点击之后,运行 软件,单击按钮。然后停止,进行抓取。
在这里我们可以清楚的看到软件的运行过程。
onclick
然后 a
然后b
然后c
# 0x05 结束语
## 收获
1.知道了一种常见的保护逻辑。
2.基本的打印输出
3.知道了如何栈跟踪
4.ddms调试详细跟踪
# 以上 问个问题:我这有个app用Android反编译后,什么都不动,直接编译回来报错,是什么问题?工具的问题?当前 Apktool 使用版本:Android Killer Default APKTOOL
正在编译 APK,请稍等...
>I: 使用 ShakaApktool 2.0.0-20150914
>I: 编译 smali 到 classes.dex...
>I: 正在编译资源...
>ndowTitle'.
> at com.rover12421.shaka.a.b.g.a(Unknown Source)
> at b.a.d.a.a(Unknown Source)
> at b.a.a.b(Unknown Source)
> at b.a.a.a(Unknown Source)
> at b.a.a.e(Unknown Source)
> at b.a.a.a(Unknown Source)
> at b.b.a.b(Unknown Source)
> at b.b.a.a(UndowTitle'.
> at com.rover12421.shaka.a.b.g.a(Unknown Source)
> at b.a.d.a.a(Unknown Source)
> at b.a.a.b(Unknown Source)
> at b.a.a.a(Unknown Source)
> at b.a.a.e(Unknown Source)
> at b.a.a.a(Unknown Source)
> at b.b.a.b(Unknown Source)
> at b.b.a.a(Unknown Source)
> at com.rover12421.shaka.cli.Main.main(Unknown Source)
>Caused by: b.a.D: b.c.a: could not exec command:
> at b.a.d.a.a(Unknown Source)
> at b.a.d.l.a(Unknown Source)
> at org.c.b.b.c.a(Unknown Source)
> ... 9 more
>Caused by: b.c.a: could not exec command:
> at b.e.i.a(Unknown Source)
> ... 12 more
APK 编译失败,无法继续下一步签名! yhxi1714 发表于 2018-2-21 10:48
大神,最后问一次哈(问多了怕你烦),你的工具方便共享一下不,新年快乐哇
工具没有整理过,百度或者爱盘里找就可以,大部分都有 可以可以 谢谢大神 楼主是做什么工作的,截了这么多张图,都是在分析。 linuxprobe 发表于 2018-2-19 19:53
楼主是做什么工作的,截了这么多张图,都是在分析。
楼主也不知道自己是做什么的 楼主新年快乐。 2018希望楼主陆续更新!! 就喜欢看这些越看越看不懂却能看完的文章 支持楼主谢谢分享 学习学习学习学习学习学习学习学习 膜拜一下楼主!
小白想问一下dex自校验的软件该怎么搞?