2. 程式人生 > >[Android 脫殼] 使用 IDA 進行簡單的脫殼

[Android 脫殼] 使用 IDA 進行簡單的脫殼

阿新 發佈:2018-12-06

0x00 摘要

Apk脫殼方法有兩種: 
(1)使用脫殼神器ZjDroid進行脫殼(現在此方法不是很好使,因為很多應用都同步更新自己的防禦機制,個人覺得熟練脫殼還是得使用 IDA 進行操練)。 
 

(2)使用 IDA Pro 在 dvmDexFileOpenPartial 這個函式下斷點進行脫殼。(大殺技)

加殼能防止原始碼被偷窺,但是這隻能防止靜態分析,無法防止動態除錯。不管怎麼加殼保護,原始的classes.dex在App執行時都要載入到記憶體中。所以如果在App載入classes.dex處下個斷點,然後再把classes.dex對應記憶體中的內容摳出來還原成原始的classes.dex檔案,就能達到脫殼的目的了。


0x01 實驗

(1)以第1屆Alictf的EvilApk300(如圖0所示)為例,簡單介紹一下使用IDA Pro 進行脫殼的步驟

 

 

  • step 1:將手機連線電腦

[Bash shell] 純文字檢視 複製程式碼

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

[/size][size=16px]adb install C:\Users\Bravelee\Desktop\jscrack.apk[/size]

 

[size=16px]-------啟動服務,開啟監聽-------[

/size]

[size=16px]adb shell[/size]

[size=16px]su root[/size]

[size=16px]chmod 777 /data/local/tmp/android_server[/size]

[size=16px]/data/local/tmp/android_server[/size]

 

[size=16px]------------埠轉發------------[/size]

[size=16px]再次開啟一個終端視窗:[/size]

[size=16px]adb forward tcp:23946 tcp:23946[/size]

 

[size=16px]-----------root 模式下啟動該 app----------[

/size]

[size=16px]因為加殼了,所以只能檢視 manifest.xml 檔案才能獲取 apk 對應的包名[/size]

[size=16px]adb shell[/size]

[size=16px]su root[/size]

[size=16px]am start -D -n com.ali.tg.testapp/com.ali.tg.testapp.MainActivity[/size]

[size=16px]


如果成功,手機上 app 會彈出 “Waiting For Debugger”

  • step 2:操作 IDA

依次點選”Debbuger -> Attach -> Remote ARMLinux/Android debugger”啟動IDA Pro中的Android Debbuger 
然後在彈出的對話方塊中點選”Debug options”按鈕,將“Suspend on process entry point”,“Suspend on thread start/exit”,“Suspend on library load/unload”這幾個選項勾選上,再將Hostname配置為localhost,埠:23946

 

 

 

 

注意:Ctrl + F 方便查詢

 

  • step 3:繼續 IDA 
    脫殼的時候重點關注:dvmDexFileOpenPartial 函式(在該函式處下斷點)

 

依次點選“Debugger -> Debugger windows -> Module list”,找到so檔案列表 
在Module list中找到libdvm.so這個檔案(注意:Ctrl + F 方便查詢)

 

雙擊libdvm.so,在彈出的函式列表中找到dvmDexFileOpenPartial函式,然後雙擊該函式就看到dvmDexFileOpenPartial函式的具體實現

 

在dvmDexFileOpenPartial函式處下斷點(F2 下斷點)

 

  • step 4:使用jdb命令動態除錯Apk 

點選 ida 左上角的綠色執行按鈕(F9)

 


開啟 DDMS 工具(android-sdk\sdk\tools\ddms.bat)
 
使用jdb命令進行除錯時,一般選擇8700埠,因為8700是預設的除錯埠;開啟終端視窗,輸入:

[Bash shell] 純文字檢視 複製程式碼

?

1

2

3

[/size]

[size=16px]jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=8700[/size]

[align=left][size=16px]

 

此時 IDA 會彈出 ”Add map…” 視窗(點選 cancel 按鈕即可):

 

此時程序就執行到了dvmDexOpenPartial函式斷點處,dvmDexOpenPartial 函式的定義:

[C++] 純文字檢視 複製程式碼

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

[/size]

[size=16px]/*[/size]

[size=16px]* Create a DexFile structure for a "partial" DEX.  This is one that is in[/size]

[size=16px]* the process of being optimized.  The optimization header isn't finished[/size]

[size=16px]* and we won't have any of the auxillary data tables, so we have to do[/size]

[size=16px]* the initialization slightly differently.[/size]

[size=16px]*[/size]

[size=16px]* Returns nonzero on error.[/size]

[size=16px]*/[/size]

[size=16px]int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex)[/size]

[size=16px]{[/size]

[size=16px]    DvmDex* pDvmDex;[/size]

[size=16px]    DexFile* pDexFile;[/size]

[size=16px]    int parseFlags = kDexParseDefault;[/size]

[size=16px]    int result = -1;[/size]

 

[size=16px]    /* -- file is incomplete, new checksum has not yet been calculated[/size]

[size=16px]    if (gDvm.verifyDexChecksum)[/size]

[size=16px]        parseFlags |= kDexParseVerifyChecksum;[/size]

[size=16px]    */[/size]

 

[size=16px]    pDexFile = dexFileParse((u1*)addr, len, parseFlags);[/size]

[size=16px]    if (pDexFile == NULL) {[/size]

[size=16px]        ALOGE("DEX parse failed");[/size]

[size=16px]        goto bail;[/size]

[size=16px]    }[/size]

[size=16px]    pDvmDex = allocateAuxStructures(pDexFile);[/size]

[size=16px]    if (pDvmDex == NULL) {[/size]

[size=16px]        dexFileFree(pDexFile);[/size]

[size=16px]        goto bail;[/size]

[size=16px]    }[/size]

 

[size=16px]    pDvmDex->isMappedReadOnly = false;[/size]

[size=16px]    *ppDvmDex = pDvmDex;[/size]

[size=16px]    result = 0;[/size]

 

[size=16px]bail:[/size]

[size=16px]    return result;[/size]

[size=16px]}[/size]

[size=16px]


 

dvmDexFileOpenPartial 函式的原型如下所示: 
int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) 
其中 addr表示Dex檔案在記憶體中的起始地址, 
len 表示Dex檔案的大小, 
ppDvmDex是一個指向DvmDex型別的二級指標,具體表示什麼,我也不知道

脫殼只用到 addr 和 len 這兩個引數,所以需要獲取 R0 和 R1 暫存器的值(ARM的傳遞引數機制規定 R0 儲存著函式從左至右的第一個引數,R1 儲存著函式從左至右的第二個引數),可以檢視到暫存器列表中的內容如圖所示:

 

  • step 5:在 IDA 中編寫idc指令碼dump記憶體還原dex檔案 

選擇 File -> Script command…
 


 

 

稍等片刻,即可以把 dump 出來的 dex 檔案儲存在 C 盤根目錄

 

IDC指令碼:

[C] 純文字檢視 複製程式碼

?

1

2

3

4

5

auto fp, dex_addr,end_addr;

    fp = fopen("C:\\dump.dex","wb");

    end_addr = r0 + r1;

    for (dex_addr = r0; dex_addr < end_addr; dex_addr ++)

        fputc(Byte(dex_addr),fp);


 

  • step 6:使用 JEB 分析dump 出來的 dex 檔案[此處內容請參考原文]
本文脫殼核心思想:在 dvmDexFileOpenPartial 函式處下斷點,然後動態除錯 Apk,待App 執行到斷點處後,寫一個 idc 指令碼將 dex 檔案所對應的記憶體 dump 出來,然後還原成 dex 檔案就完成脫殼操作了,最後再分析反編譯 dex 所得到的 smali 檔案。

 

  • 參考文獻

[1] 聽鬼哥說ZJDROID脫殼的簡單使用:http://blog.csdn.net/guiguzi1110/article/details/38727753 
[2] 安卓逆向學習筆記(9)- 使用IDA Pro進行簡單的脫殼 :http://blog.csdn.net/pengyan0812/article/details/46275317
[3] Android應用方法隱藏及反除錯技術淺析:http://www.kuqin.com/shuoit/20151012/348473.html0x00 摘要

Apk脫殼方法有兩種: 
(1)使用脫殼神器ZjDroid進行脫殼(現在此方法不是很好使,因為很多應用都同步更新自己的防禦機制,個人覺得熟練脫殼還是得使用 IDA 進行操練)。 
 

(2)使用 IDA Pro 在 dvmDexFileOpenPartial 這個函式下斷點進行脫殼。(大殺技)

加殼能防止原始碼被偷窺,但是這隻能防止靜態分析,無法防止動態除錯。不管怎麼加殼保護,原始的classes.dex在App執行時都要載入到記憶體中。所以如果在App載入classes.dex處下個斷點,然後再把classes.dex對應記憶體中的內容摳出來還原成原始的classes.dex檔案,就能達到脫殼的目的了。


0x01 實驗

(1)以第1屆Alictf的EvilApk300(如圖0所示)為例,簡單介紹一下使用IDA Pro 進行脫殼的步驟

 

 

  • step 1:將手機連線電腦

[Bash shell] 純文字檢視 複製程式碼

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

[/size][size=16px]adb install C:\Users\Bravelee\Desktop\jscrack.apk[/size]

 

[size=16px]-------啟動服務,開啟監聽-------[/size]

[size=16px]adb shell[/size]

[size=16px]su root[/size]

[size=16px]chmod 777 /data/local/tmp/android_server[/size]

[size=16px]/data/local/tmp/android_server[/size]

 

[size=16px]------------埠轉發------------[/size]

[size=16px]再次開啟一個終端視窗:[/size]

[size=16px]adb forward tcp:23946 tcp:23946[/size]

 

[size=16px]-----------root 模式下啟動該 app----------[/size]

[size=16px]因為加殼了,所以只能檢視 manifest.xml 檔案才能獲取 apk 對應的包名[/size]

[size=16px]adb shell[/size]

[size=16px]su root[/size]

[size=16px]am start -D -n com.ali.tg.testapp/com.ali.tg.testapp.MainActivity[/size]

[size=16px]


如果成功,手機上 app 會彈出 “Waiting For Debugger”

  • step 2:操作 IDA

依次點選”Debbuger -> Attach -> Remote ARMLinux/Android debugger”啟動IDA Pro中的Android Debbuger 
然後在彈出的對話方塊中點選”Debug options”按鈕,將“Suspend on process entry point”,“Suspend on thread start/exit”,“Suspend on library load/unload”這幾個選項勾選上,再將Hostname配置為localhost,埠:23946

 

 

 

 

注意:Ctrl + F 方便查詢

 

  • step 3:繼續 IDA 
    脫殼的時候重點關注:dvmDexFileOpenPartial 函式(在該函式處下斷點)

 

依次點選“Debugger -> Debugger windows -> Module list”,找到so檔案列表 
在Module list中找到libdvm.so這個檔案(注意:Ctrl + F 方便查詢)

 

雙擊libdvm.so,在彈出的函式列表中找到dvmDexFileOpenPartial函式,然後雙擊該函式就看到dvmDexFileOpenPartial函式的具體實現

 

在dvmDexFileOpenPartial函式處下斷點(F2 下斷點)

 

  • step 4:使用jdb命令動態除錯Apk 

點選 ida 左上角的綠色執行按鈕(F9)

 


開啟 DDMS 工具(android-sdk\sdk\tools\ddms.bat)
 
使用jdb命令進行除錯時,一般選擇8700埠,因為8700是預設的除錯埠;開啟終端視窗,輸入:

[Bash shell] 純文字檢視 複製程式碼

?

1

2

3

[/size]

[size=16px]jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=8700[/size]

[align=left][size=16px]

 

此時 IDA 會彈出 ”Add map…” 視窗(點選 cancel 按鈕即可):

 

此時程序就執行到了dvmDexOpenPartial函式斷點處,dvmDexOpenPartial 函式的定義:

[C++] 純文字檢視 複製程式碼

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

[/size]

[size=16px]/*[/size]

[size=16px]* Create a DexFile structure for a "partial" DEX.  This is one that is in[/size]

[size=16px]* the process of being optimized.  The optimization header isn't finished[/size]

[size=16px]* and we won't have any of the auxillary data tables, so we have to do[/size]

[size=16px]* the initialization slightly differently.[/size]

[size=16px]*[/size]

[size=16px]* Returns nonzero on error.[/size]

[size=16px]*/[/size]

[size=16px]int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex)[/size]

[size=16px]{[/size]

[size=16px]    DvmDex* pDvmDex;[/size]

[size=16px]    DexFile* pDexFile;[/size]

[size=16px]    int parseFlags = kDexParseDefault;[/size]

[size=16px]    int result = -1;[/size]

 

[size=16px]    /* -- file is incomplete, new checksum has not yet been calculated[/size]

[size=16px]    if (gDvm.verifyDexChecksum)[/size]

[size=16px]        parseFlags |= kDexParseVerifyChecksum;[/size]

[size=16px]    */[/size]

 

[size=16px]    pDexFile = dexFileParse((u1*)addr, len, parseFlags);[/size]

[size=16px]    if (pDexFile == NULL) {[/size]

[size=16px]        ALOGE("DEX parse failed");[/size]

[size=16px]        goto bail;[/size]

[size=16px]    }[/size]

[size=16px]    pDvmDex = allocateAuxStructures(pDexFile);[/size]

[size=16px]    if (pDvmDex == NULL) {[/size]

[size=16px]        dexFileFree(pDexFile);[/size]

[size=16px]        goto bail;[/size]

[size=16px]    }[/size]

 

[size=16px]    pDvmDex->isMappedReadOnly = false;[/size]

[size=16px]    *ppDvmDex = pDvmDex;[/size]

[size=16px]    result = 0;[/size]

 

[size=16px]bail:[/size]

[size=16px]    return result;[/size]

[size=16px]}[/size]

[size=16px]


 

dvmDexFileOpenPartial 函式的原型如下所示: 
int dvmDexFileOpenPartial(const void* addr, int len, DvmDex** ppDvmDex) 
其中 addr表示Dex檔案在記憶體中的起始地址, 
len 表示Dex檔案的大小, 
ppDvmDex是一個指向DvmDex型別的二級指標,具體表示什麼,我也不知道

脫殼只用到 addr 和 len 這兩個引數,所以需要獲取 R0 和 R1 暫存器的值(ARM的傳遞引數機制規定 R0 儲存著函式從左至右的第一個引數,R1 儲存著函式從左至右的第二個引數),可以檢視到暫存器列表中的內容如圖所示:

 

  • step 5:在 IDA 中編寫idc指令碼dump記憶體還原dex檔案 

選擇 File -> Script command…
 


 

 

稍等片刻,即可以把 dump 出來的 dex 檔案儲存在 C 盤根目錄

 

IDC指令碼:

[C] 純文字檢視 複製程式碼

?

1

2

3

4

5

auto fp, dex_addr,end_addr;

    fp = fopen("C:\\dump.dex","wb");

    end_addr = r0 + r1;

    for (dex_addr = r0; dex_addr < end_addr; dex_addr ++)

        fputc(Byte(dex_addr),fp);


 

  • step 6:使用 JEB 分析dump 出來的 dex 檔案[此處內容請參考原文]
本文脫殼核心思想:在 dvmDexFileOpenPartial 函式處下斷點,然後動態除錯 Apk,待App 執行到斷點處後,寫一個 idc 指令碼將 dex 檔案所對應的記憶體 dump 出來,然後還原成 dex 檔案就完成脫殼操作了,最後再分析反編譯 dex 所得到的 smali 檔案。

 

  • 參考文獻

[1] 聽鬼哥說ZJDROID脫殼的簡單使用:http://blog.csdn.net/guiguzi1110/article/details/38727753 
[2] 安卓逆向學習筆記(9)- 使用IDA Pro進行簡單的脫殼 :http://blog.csdn.net/pengyan0812/article/details/46275317
[3] Android應用方法隱藏及反除錯技術淺析:http://www.kuqin.com/shuoit/20151012/348473.html

相關推薦

[Android ] 使用 IDA 進行簡單

0x00 摘要 Apk脫殼方法有兩種:  (1)使用脫殼神器ZjDroid進行脫殼(現在此方法不是很好使,因為很多應用都同步更新自己的防禦機制,個人覺得熟練脫殼還是得使用 IDA 進行操練)。    (2)使用 IDA Pro 在 dvm

upx的一些簡單,望大牛勿噴。

下面是我的脫殼。 手動脫殼 1.ESP定律法檢視通用暫存器ESP,資料視窗跟蹤。F8單步步入,F4禁止向上跳轉 2.單步跟蹤法F8單步跟蹤,遇CALL F7進入。直到到達OEP,經過多次F8,F4終於到達OEP了,恆大的第三課的跳轉好多,逢向上的跳轉,用F4。 3

Android so加固的簡單

Android應用的so庫檔案的加固一直存在,也比較常見,特地花時間整理了一下Android so庫檔案加固方面的知識。本篇文章主要是對看雪論壇《簡單的so脫殼器》這篇文章的思路和程式碼的分析,很久之前就閱讀過這篇文章但是一直沒有時間來詳細分析它的程式碼,最近比較有空來

簡單教程筆記(1) --- 常見語言的入口點

      殼的分類:壓縮殼、加密殼                          壓縮的目的是減少程式體積,如ASPack、UPX、PECompact等。                          加密是為了防止程式被跟蹤和除錯,如ASProtect、幻影  

簡單教程筆記(6)---手FSG

          本筆記是針對ximo早期發的脫殼基礎視訊教程,整理的筆記。本筆記用到的工具下載地址: http://download.csdn.net/detail/obuyiseng/9466056 簡介: FSG殼是一款壓縮殼。 工具:ExeinfoPE或P

簡單教程筆記(4)---手ASPACK

           本筆記是針對ximo早期發的脫殼基礎視訊教程,整理的筆記。        ximo早期發的脫殼基礎視訊教程 下載地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4

簡單教程筆記(2)---手UPX(1)

       本筆記是針對ximo早期發的脫殼基礎視訊教程,整理的筆記。        ximo早期發的脫殼基礎視訊教程 下載地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%

簡單教程筆記(9) --- 手TELock0.98b1

1.最後一次異常法 1、選項---》除錯設定---》異常------取消所有異常。在OD外掛--StrongOD--Options--Skip Some Exceptions選項取消,重啟OD再試試。 2、然後將程式重新載入 3、按shift+f9 ,發現17次shift+f9 就會讓程式跑起來了, 

手工之 未知IAT加密 【IAT加密+混淆+花指令】【哈希加密】【OD腳本】

get 並且 size pos targe 特殊 pro 臨界點 post 一、工具及殼介紹 使用工具:Ollydbg,PEID,ImportREC,LoadPE,OllySubScript 未知IAT加密殼: 二、初步脫殼 嘗試用E

Apk聖戰之---如何掉“梆梆加固”的保護

一、前言現如今Android使用者的安全意識不是很強,又有一些惡意開發者利用應用的名字吸引眼球,包裝一個惡意鎖機收費的應用,在使用者被騙的安裝應用之後,立馬手機鎖機,需要付費方可解鎖。這樣的惡意軟體是非

Apk聖戰之—如何掉“梆梆加固”的保護

一、前言 現如今Android使用者的安全意識不是很強,又有一些惡意開發者利用應用的名字吸引眼球,包裝一個惡意鎖機收費的應用,在使用者被騙的安裝應用之後,立馬手機鎖機,需要付費方可解鎖。這樣的惡意軟體是非常讓人痛恨的。所以本文就用一個案例來分析如何破解這類應用,獲取解鎖

的工作原理

相關名詞      1)Entry Point (入口點)      PE格式的可執行檔案的執行時的入口點,即是PE格式中的Entry Point。      用PEditor或者LordPE之類的PE檢視工具看看NotePad.exe,你就會看到Entry Point的值

掉“愛加密”家的

一、案例分析 第一步:反編譯解壓apk得到的classes.dex檔案,得到java原始碼。 看到,這裡只有Application的殼,而且這個是愛加密加固之後的特點,都是這兩個Application的。 第二步:使用apktool反編譯apk,獲取資

Android中的Apk的加固 加 原理解析和實現

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

簡單加密專案筆記

專案分為兩部分組成,一個是加殼程式,主要用於加密目標檔案後生成一個新的可執行程式;另一個是殼本身DLL程式,主要用於在程式執行之前先解密被加密的部分。 一、第一部分——加殼程式 第一步,開啟加殼的目標程式,讀取資料。初步解析一下是不是PE檔案。 CPE obj; //開啟並獲取檔

MYSQL業務資料簡單敏方案

removesensitiveinformationplan.sh #!/bin/sh #!在模擬庫上執行如下指令碼 #!生產庫crm-db #!模擬庫crm-mock #!1.備份生產庫 mysqldump -uroot -proot -hcrm-db crm >crm.sq

Android】Retrofit的使用(4)-Retrofit進行簡單的GET和POST訪問操作

1.GET方式提交資料 第一種方法: @GET("account/login.action") Call<JSONObject> login(@Query("<span styl

註解實現json序列化的時候自動進行資料

最近在進行開發的時候遇到一個問題,需要對使用者資訊進行脫敏處理,原有的方式是寫一個util類,在需要脫敏的欄位查出資料後,顯示掉用方法處理後再set回去,覺得這種方式能實現功能,但是不是特別優雅,想找個比較優雅的實現。 思考了一下,覺得資料只有在輸出的時候進行脫敏處理即可,

android apk 防止反編譯技術-加技術

<application android:icon="@drawable/ic_launcher" android:label="@string/app_name" android:theme="@style/AppTheme" android:name="co

android AIDL 實踐之傳遞簡單字串

trace his int ati activity 表示 asi client text *本demo的server和client寫反了 新建工程client,server 在server端新建aidl文件,內容: // IMyAidlInterface.aidl pac