admin管理员组文章数量:1586672
2024年2月9日发(作者:)
梆梆加固方案分析和破解
--论梆梆安全加固的不可靠
一、梆梆安全加固方案技术分析 ..................................错误!未定义书签。
(1)APK包文件特征 .......................................错误!未定义书签。
(2)dex文件分析 .........................................错误!未定义书签。
(3)SO文件分析 ..........................................错误!未定义书签。
二、梆梆安全加固破解 ..........................................错误!未定义书签。
一、梆梆安全加固方案技术分析
样例分析环境:
APK包: 齐鲁银行
运行环境:安卓模拟器平台:ARM平台,(X86暂不分析)
分析工具:JEB,APKIDE,IDA 及HEX编辑工具等
(1)APK包文件特征
图1 齐鲁银行apk文件结构
图1可见文件极小。非应用真正的dex文件。
图2 assets/文件目录
梆梆把SO文件都放在assets中。图2中比较重要文件有:,,,,4个so文件以及一个jar文件。
(2)dex文件分析
图3 dex结构
代码中能看到的so调用有2处:ACall中的,以及ApplicationWrapper中的。
初步总结:根据apk包文件结构以及dex逆向中可见的调用关系,大约可推断出梆梆整体的保护策略:多层次,明暗集合。
(3)SO文件分析
开始详细分析梆梆的SO文件。
根据上面几个方面的观察,梆梆具有4个so文件。2个为显式调用,2个为隐式调用(调用代码隐藏在so中)。
1)四个so相互调用关系:
本人的初步研究:首先,Dex中的ACall调用 ,其次,调用, 再次,Dex中的ApplicationWrapper调用,最后, 这个so文件很奇怪,好像并没有被调用过。
2)四个so各自特征详细分析:
*
文件大小81KB,破坏参数ELF中的section节表信息,采用加壳保护----变种UPX壳(无法使用工具直接脱壳),函数和变量名都加入混淆处理。
图4 仅存在段表,upx加壳(elf文件)特有段表结构
图6 功能性函数和变量名混淆
图7 so入口函数变形,ida无法识别
图8 JNI_OnLoad函数加密字节特殊处理
综上所见:该SO文件反映了梆梆加固机制的大量技术信息。但其核心技术只是国外开源的UPX壳。在本文的最后会针对UPX壳逆向分析的情况进行一些细节说明。
通过技术手段进行手工脱壳,并dump出so 在内存中的map并转存二进制文件。
因Dump出的二进制文件,本身无法修复elf段表和节表(手工修复工作量大),所以在分析过程中,结合了runtime动态调试内存技术。
图9-1 脱壳前的so在内存中段布局
图9-2 脱壳后的so在内存中的段布局
因为UPX为压缩壳,所以原加载入内存的elf各分段被动态解压到内存中,如LOAD段下方的debug002实为LOAD段解压还原后的代码及数据信息。其他各段类似。此处也可看出无法dump出完整elf的原因了。Upx解压时,并没有还原section和segment,实际也没这个必要。
图10 相对图7这才是真正的so入口点.init_proc源码,即upx脱壳代码
图11 相对图8这是解压还原后的JNI_OnLoad函数(深蓝色的函数名都是本人的分析标注)
图12 JNI_OnLoad的一个sub函数
至此的启动代码部分大概流程解析出来。其中功能性函数与dex有关的很多。本人搜索了一些关键词。发现前面提到的一个这个jar包也在该so中处理。
总结:该so的特点,加壳,名称混淆,但未混淆函数实现。获得dex修复功能,与和通讯交互调用了一些功能函数。
*
第二个核心so文件。
根据对的研究。Libsecmain属于隐式被调用者,调用者很可能就是这个jar文件(本人猜测)。
文件大小157KB,破坏ELF中的section节表信息,采用加壳保护----变种UPX壳(无法使用工具直接脱壳),函数和变量名都加入混淆处理。
虽然本so与的保护方式几乎一样(采用同样技术的重复的图就不截了)。初步分析后,发现它仍然有一些自己的独特之处。
(1) 无JNI_load函数,说明该so 为纯被调用者。被java或其他so调用。自身不会去主动调用java相关代码,如:jar包,dex文件等。
(2) 新增混淆IDA解析能力,伪造了一批函数。比如:把入口函数.init_proc的代码放
在另一个函数内部(对于elf文件来说关心的定位并不受影响,程序仍可以正确执行)。且此类保护技术在该so中很多。本人尚未进行更进一步的研究。
图13
可见B6EAA000是真正的入口点,因为隐藏在另一个函数内,IDA无法按照单一独立函数进行解析(且母函数本身也不一定合法),导致解析能力明显偏弱, 很多东西无法正确解析,静态环境就需要手动修复(关键是要重置函数上下界)。只要能动态调试起来影响到是不太大。
(3) 观察该so中未混淆的函数
so_main(dlopen打开和 ,通过dlsym获取多个进程操作函数fork, ptrace, wait,
kill, mprotect, waitpid,双进程反调试功能就在该so中,getpid),该函数执行结束后,进程列表中将会有2个。
mykill,init,libc_pread64 等。处理过程中多次申请动态堆内存,其目的还需深入研究。
(4) 观察了一些混淆的函数
发现该so中有不少open 和fopen操作,可见有进行读写文件。
综上所述:该so的功能大概有2方面:1. 开启多进程反调试保护,2.文件恢复(极可能是生成文件,当然生成一个半成品的dex文件),因为时间问题暂时动态调试只进行到多进程保护部分就被卡住,后续准备细致研究后后把多进程防护功能关闭后,再继续往下调试,以便获得更多的信息。
*
文件大小458KB,很明显该so的核心功能就是修复dex文件。
启动前的内存系统和文件系统实时情况:
图14 内存中进程情况,可见,1197为核心进程,1199为反调试子进程
图15 执行文件夹内的多了一个720KB的
显而易见,经过(24kb), , , , , 以及等几个模块的前期处理,生成了一个待修复模版型的(720kb)。经过测试,该为非法不完整的dex文件。
到此(24kb)中的ApplicationWrapper去加载进行运行时修复(720kb)。
该so的特点:
1> 未加壳
2> 未破坏elf文件segment和section表
3> 入口点为start函数(未加密,存放在自定义代码段seg011中,大量code也在该段中)
*
文件大小14KB,极小型。
该so的特点:
1> 内部仅1个函数:strlen, 感觉函数名与函数功能无关
2> 无JNI_onLoad函数
3> 未加壳
4> 未混淆
图17 strlen函数代码
Strlen函数一共就这几行代码。函数功能也极其简单,从系统环境变量LD_PRELOAD_SECSO中获取某个so库名并dlopen打开,在用dlsym获取so库中函数名为”p88c9ade20f808e0fdeb7988"的函数指针,再从系统环境变量LD_PRELOAD_ARGS中获取函数相关参数信息,最终调用"p88c9ade20f808e0fdeb7988"函数。
至此上面就是,梆梆加固保护机制分析结果。
二、梆梆安全加固破解
使用自主开发的脱壳工具对梆梆加固的某银行级别的应用进行脱壳。首先在手机上安装该银行apk,然后运行apk。使用动态脱壳工具指令进行脱壳。
会在/data/下面生成脱壳之后的smali文件,截取部分内容如下:
经过我们解密处理之后,就会生成完整的smali代码;在经过一定的处理之后,我们可以直接看到java代码,证明经该厂商加固后的应用被完全破解。
总的来说,梆梆安全加固的安全加固方案还是基于国外的一些开源项目,保护效果有限且所有被保护的应用均能通过同样的方式轻易破解,对应用的兼容性性能也有明显的不良影响。
版权声明:本文标题:梆梆加固方案分析和破解--论梆梆安全加固的不可靠 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1707453283a198000.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论