《教我兄弟学Android逆向10 静态分析反调试apk》
本帖最后由 会飞的丑小鸭 于 2018-7-20 20:50 编辑上一篇 《教我兄弟学Android逆向09 IDA动态破解登陆验证》我带你分析了黑宝宝.apk,并且用IDA动态调试破解了登陆验证 看上节课你学习的不错 这节课给你带来的是过反调试的教程
在进入本节课之前我先问你一个问题
什么是反调试?
答:反调试技术是为了保护自己程序的代码不被逆向。增加逆向分析的难度 防止程序被破解, 针对动态分析。
要么学!要么不学!学和不学之间没有中间值 不学就放弃,学就要去认真的学! --致选择
分析环境:JEB2.2.7+IDA7.0测试手机:nexus
IDA7.0下载链接
链接:https://pan.baidu.com/s/1xEtjnTVZFuLiMpHKwMOY2Q 密码:g3v9
前言
测试一:首先拿到反调试挑战.apk 安装后直接运行,这里因为我没有动态调试程序,所以弹出框恭喜你,挑战成功!
测试二:用第9课讲的调试方法 先运行程序等程序弹框后再挂起IDA调试 发现IDA直接退出 猜测程序做了反调试。
一 用jeb反编译反调试挑战.apk
1打开Manifest查看android:debuggable="true" 说明此程序是可以被动态调试的。
2找到程序入口MainActivity 分析可知程序运行的时候调用了myJNI类中的Native函数checkport并弹框 所以checkport是弹框的内容 看函数名可知里面也有可能做了反调试
3分析代码可知程序弹框后说明checkport函数已经执行完了,但是IDA挂起来后程序还是退出,说明还是被反调试了 猜想有两种情况:
猜想一: checkport函数中开启了一个线程循环来做反调试 就算函数执行完 这个线程中的反调试还是运行的 (如果不开启线程 循环检测反调试程序主线程将会堵塞 )
猜想二: 我们知道init_array和JNI_OnLoad会在so加载的时候就开始执行,所以程序也有可能会在这里开启线程进行反调试。
4.带着上面的猜想 我们下面来分析下so
二 验证猜想一
IDA分析so
解压反调试挑战.apk进入lib文件夹下找到libsix.so并用ida打开由于我手机支持v7所以这里我打开的是armeabi-v7a下的so
注意:这里一定要打开手机对应的so 如果手机是arm的就打开armeabi文件夹下的so,支持v7则打开armeabi-v7a下的so 同理x86的要打开x86文件夹下的so进行分析这里很重要 不然会和动态调试的内存地址不对应
1.我们先来找到 checkport函数 看看代码里面到底有什么 按照以前教程中找Native函数的方法 我们打开函数导出表发现并没有checkport函数 在String窗口搜索恭喜你,挑战成功!也是搜索不到的说明此字符串被隐藏了但是发现了JNI_OnLoad函数 说明函数checkport是动态注册的。
2. 怎么在IDA里面找到动态注册的函数呢?动态注册的函数一般会在.data.rel.ro.local或data中 Ctrl+s打开segment表找到.data.rel.ro.local这个段里面放的是动态注册的函数 点进去后就找到Checkport函数了 函数的定义在dword_1140中
3点进dword_1140发现这部分代码IDA没有解析好这里需要手动解析一下 点住dword_1140右键Data转化成数据 然后鼠标放在__unwind按住P键就转换成函数了 这个函数就是checkport对应的函数
4.分析checkport函数 F5转换成C伪代码 导入Jni.h (不会导入的看前面的课程) 然后手动解析代码 提高代码可读性 解析完成后Esc返回到C代码 再按下F5刷新一下代码 解析的字符串就出来了
5 通过以上操作可以看到 恭喜你,挑战成功字符串已经被我们解析出来了 接下来分析这个函数 这个函数会 读取/proc/net/tcp,查找23946端口,也就是IDA动态调试的端口 如果查找到了说明程序正在被动态调试 然后退出程序 从而达到了反调试的目的。
但是这里我们看到这个函数的反调试并没有放到线程中做 说明只执行一次就结束了而且测试一验证的时候这里的代码已经执行完了所以其他地方一定还有反调试 并且只能在这个函数之前执行。
三 验证猜想二
init_array介绍
init_array段是在so加载的时候执行的 执行顺序要优先于 JNI_OnLoad所以这里是最早被执行的函数 把反调试和so的解密放到这里是比较好的选择。
1 ctrl+s打开segment表找到.init_array段点进去 发现init_array段里面有一个thread_create函数 点进去F5转换成C伪代码 并分析函数
2.我们打开命令行窗口来验证一下 查看当前程序的status文件ps命令用来列出系统中当前运行的那些进程
3.通过上面分析可知thread_create函数是创建线程循环读取当前程序的Tracepid的值 如果值大于0说明程序当前正在被动态调试并退出程序 那么现在就知道为什么在程序弹出恭喜你,挑战成功框后我们进行动态调试 程序还是会退出了 因为这里开启了一个线程进行循环反调试。
4.那么到这里程序的反调试是不是就找完了呢?刚刚我们也说了除了init_array还有一个地方JNI_OnLoad函数也会在so刚加载的时候运行 那么出于习惯 我们还是来看一下JNI_OnLoad函数
四 JNI_OnLoad函数
1.在函数窗口中搜索并找到JNI_OnLoad函数 F5反编译成C伪代码(有点时候导出表里面是没有JNI_OnLoad函数的 所以这里在函数窗口中搜索)
2.经过上面分析知道 JNI_OnLoad函数中调用SearchObjProcess函数进行反调试这个函数通过ps列出当前手机的所有进程 然后如果进程名中包含android_server,gdbserver,gdb等名称 则认为程序当前被动态调试 退出程序
五 小结
1.首先我们通过JEB工具静态分析了反调试挑战.apk 发现在MainActivity类中调用了Native函数checkprot 因为这个函数是动态注册的 所以我们在data.rel.ro.local段中找到了这个函数 分析知道这个函数会读取/proc/net/tcp,查找23946端口 如果找到则认为程序当前被动态调试 退出程序
2 在init_array段里面发现了thread_create函数 这个函数创建了一个线程循环来读取/proc/pid/status文件下的TracePid的值 如果大于0说明程序正在被调试 退出程序
3.JNI_OnLoad函数中发现了SearchObjProcess函数通过搜索指定进程名来判断程序有没有被调试
六 解决方案一
1.对于checkprot我们可以通过-p将IDA调试端口改为23947或者其他端口 注意端口转发和IDA调试的端口号都要改成23947
2.对于thread_create函数我们可以刷机改内核让TracePid的值永远为0
参考文章《逆向修改内核,绕过TracerPID反调试 》
3.对抗SearchObjProcess函数可以将android_server改成其他名字然后运行 比如zs ls ww(张三,李四,王5)
参考文章《教我兄弟学Android逆向番外03 Android逆向必会命令》
七 解决方案二
1.也可以通过exit函数定位到反调试位置并patch掉当前函数 这里以thread_create函数为例子 因为此函数在init_array段里面 所以是没有调用的地方的 这里直接把第二条指令改成pop直接出栈 改Hex指令这里我就不为你演示了 前面教程都有教过。
2.对于SearchObjProcess函数 直接找到调用此函数的位置 然后nop掉 或者进函数里面把exit给nop掉都行最后一处反调试这里也不演示了 方法相同
八 另一种patch方法
以前我们都是用IDA插件modifyfile.plw来patch 其实还有一种patch的方法 直接用IDA Patch Program插件来Patch也是可以的 点菜单Edit->Patch Progra
最后将patch后的so替换原包的so 重打包签名 运行 即可过反调试。
九总结
本节课我带你用JEB+IDA工具静态分析了反调试APK 通过本节课的学习 你了解了init_array段和JNI_OnLoad函数的执行顺序和这三处反调试的找寻方法对于反调试 当然也可以通过搜寻特征的方式定位位置 比如TracePid反调试可以在字符串窗口搜索/proc/%d/status 检测进程名可以搜索android_server检测端口号搜索5D8A 然后我又带你重温了一遍函数Patch的方法 以及第二种保存修改so的方法 通过本节课我想你对反调试技术已经有了初步的了解 教程附件里面前人总结出来的反调试大全 你可以看一看并且学习一下。学习完之后 下节课我将会为你讲解怎么动态调试这个apk。
十 课后作业
1.按照本节课教程把附件里面的反调试.apk so里面的反调试函数给patch掉 并重打包
2.了解并熟悉附件里面常见的反调试
下一篇:《教我兄弟学Android逆向11 动态调试init_array》
跟着弄完了,就是有几张图加载不出来,推断一波我来补一下
本帖最后由 会飞的丑小鸭 于 2018-6-11 10:37 编辑
我是灰太狼35 发表于 2018-6-9 14:17
楼主,我能否转载您的文章
欢迎转载,标注出处吾爱破解。 不错学习了感谢分享! 精品,火了 跟进学习谢谢了 楼主辛苦了 谢谢 更新了。火钳刘明 真心很不错啊啊啊啊....挺好
感谢更新学习了 感谢更新学习了 学习了。。。