一、目標(biāo)
之前我們已經(jīng)用unidbg跑通了libencrypt.so,那么如何判斷跑出來(lái)的結(jié)果是對(duì)是錯(cuò)?再如何糾正unidbg跑錯(cuò)誤的流程,是我們今天的目標(biāo)。
v6.1.0
二、步驟
找到明顯的接口來(lái)判斷
checkcode是加密,加密的結(jié)果確實(shí)不好判斷是否正確。不過(guò)我們可以試試解密,能解密就是對(duì)的,簡(jiǎn)單粗暴。這里解密函數(shù)是 decheckcode 。
public void callB() {
String strA = "FlK6XicivmCwPSE3sk6b71m9WbWd/gYZtlajqGXhEXXjmWEZziR51rVWSEDwUUi4UN9RnoCGbLNmqI80Fiog4Sw==";
String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";
DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);
String strOut = (String)ret.getValue();
System.out.println("call decheckcode: " + strOut);
}
跑一下,這個(gè)結(jié)果明顯不對(duì),死心了
call decheckcode: fac34ffa581987c7a1ffa5b876ca96ce
分析問(wèn)題
結(jié)果不對(duì),肯定是過(guò)程不對(duì)。
那么解決方案就是 分析對(duì)比unidbg運(yùn)行的流程和app運(yùn)行的流程 有哪里有不同?
對(duì)比運(yùn)行流程有三個(gè)粒度, 函數(shù)、代碼塊和代碼。 (在ida里按空格,出現(xiàn)的流程圖中的每個(gè)塊就是代碼塊)
我們今天主要要對(duì)比 decheckcode函數(shù),所以先從代碼塊的粒度來(lái)做Trace。
Trace Block
unidbg提供一個(gè)BlockHook,每運(yùn)行到一個(gè)代碼塊就觸發(fā)這Hook,我們就利用他來(lái)做Trace Block
// 保存需要用frida Hook的Block的地址
public static Map<Integer, Integer> subTraceMap = new HashMap<Integer, Integer>();
// 保存命中的Block地址的次數(shù),命中次數(shù)太多的就忽略掉。
public static Map<Integer, Integer> calcMap = new HashMap<Integer, Integer>();
// 入?yún)⑹莝o基地址, 需要Trace代碼的開(kāi)始地址和結(jié)束地址
private void traceBlock(final long baseAddr, final long starAddr, final long endAddr) {
emulator.getBackend().hook_add_new(new BlockHook() {
@Override
public void hookBlock(Backend backend, long address, int size, Object user) {
// 代碼塊需要大于20個(gè)字節(jié), 塊太小 影響 frida的 hook
if (size > 20) {
Instruction[] insns = emulator.disassemble(address, 4, 0);
int iSize = insns[0].getSize();
int iUseAddr = 0;
if (iSize == 4) {
// ARM模式 4字節(jié)
iUseAddr = (int) (address - baseAddr);
} else {
// THUMB模式 2 字節(jié) ,hook的時(shí)候 + 1 ,
iUseAddr = (int) (address - baseAddr) + 1;
}
if (calcMap.containsKey(iUseAddr)) {
// 保存命中次數(shù)
int iValue = calcMap.get(iUseAddr);
calcMap.put(iUseAddr, iValue + 1);
// 4次以上的調(diào)用就不顯示了, 也不用frida Trace了
if (iValue > 3) {
subTraceMap.remove(iUseAddr);
} else {
System.out.println(" " + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");
}
} else {
calcMap.put(iUseAddr, 1);
subTraceMap.put(iUseAddr, 1);
System.out.println(" " + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");
}
}
}
@Override
public void onAttach(UnHook unHook) {
}
@Override
public void detach() {
}
}, starAddr, endAddr, 0);
}
Trace Block結(jié)束之后,把命中的代碼塊地址都打印出來(lái),用于在Frida中去hook
public void PrintHookSubInfo(){
System.out.println("subTrace len = " + subTraceMap.size());
String strOut = "";
for (Map.Entry<Integer, Integer> entry : subTraceMap.entrySet()) {
int iShow = entry.getKey();
// 為了和unidbg顯示一致這里處理下
if(iShow % 2 != 0){
iShow = iShow -1;
}
strOut = strOut + " ,['sub_" + Integer.toHexString(iShow ) + "','0x" + Integer.toHexString((int)entry.getKey() ) + "']";
}
System.out.println(strOut);
}
有了這兩個(gè)函數(shù)就可以干活了
public void callB() {
traceBlock(module.base,module.base,module.base + module.size);
...
String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";
DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);
...
PrintHookSubInfo();
}
在執(zhí)行 decheckcode 之前去做Trace, 執(zhí)行之后去打印所有命中的Block地址。
Tip:
這個(gè)樣本沒(méi)那么復(fù)雜,所以就直接Trace所有代碼范圍,講究人是需要縮小范圍,只Trace自己感興趣的部分。
Find native function Java_com_bangcle_comapiprotect_CheckCodeUtil_decheckcode => RX@0x4002b1bc[libencrypt.so]0x2b1bc
sub_2b1bc
sub_2b20c
sub_2b238
sub_2b254
sub_2b270
sub_2b28c
sub_2b2a8
sub_2b2c4
sub_2b2e0
sub_2b2fc
sub_2b318
sub_2b334
...
subTrace len = 127
,['sub_21400','0x21400'] ,['sub_21c00','0x21c00'] ,['sub_22200','0x22200'] ,['sub_2b604','0x2b604'] ...
Trace的結(jié)果出來(lái)了,命中的地址列表也打印出來(lái)了,一共命中了127個(gè)地址塊。
frida Hook 對(duì)比
把命中的地址列表導(dǎo)入到frida里面去hook,然后就可以對(duì)比出來(lái) unidbg跑的流程和App跑的流程的差別了。
function hook_suspected_function(targetSo) {
const funcs = [
['sub_21400','0x21400'] ,['sub_21c00','0x21c00'] ,['sub_ ...
];
for (var i in funcs) {
let relativePtr = funcs[i][1];
let funcPtr = targetSo.add(relativePtr);
let describe = funcs[i][0];
let handler = (function() {
return function(args) {
// console.log("\n");
console.log(TAG + describe);
};
})();
Interceptor.attach(funcPtr, {onEnter: handler});
}
}
function traceNative() {
var targetSo = Module.findBaseAddress('libencrypt.so');
console.log(TAG +" Trace ############# libencrypt.so: " +targetSo);
hook_suspected_function(targetSo);
}
// 然后在hook decheckcode的時(shí)候打印Trace結(jié)果
Interceptor.attach(targetSo.add(0x2B1BC ),{
onEnter: function(args){
traceNative();
var strCls = Java.use('java.lang.String');
var strA = Java.cast(this.context.x2, strCls);
console.log(TAG + "-------- decheckcode a = " + strA);
},
onLeave: function(retval){
var strCls = Java.use('java.lang.String');
var strRc = Java.cast(retval, strCls);
console.log(TAG + "-------- decheckcode rc = " + strRc);
}
});
對(duì)比結(jié)果
對(duì)比的方法比較low,先把unidbg Trace Block的結(jié)果復(fù)制到文本文件1,然后把frida hook打印的結(jié)果復(fù)制到文本文件2。 最后開(kāi)啟 Beyond Compare 來(lái)對(duì)比
1:cmp
過(guò)程雖然很low,但是結(jié)果可一點(diǎn)都不low,從對(duì)比的結(jié)果看,大家之前都是好朋友,不過(guò) sub_18650 之后就開(kāi)始分道揚(yáng)鑣了。
這時(shí)候就需要問(wèn)問(wèn)ida了。
1:fopen
這里fopen了一個(gè)文件,文件名是做了base64。
base64誰(shuí)不會(huì)呢,隨便寫(xiě)兩行代碼就可以解出來(lái)了 /proc/%d/cmdline
這又在考我們的android編程知識(shí)了,問(wèn)了下谷哥,哥說(shuō)了,這是在讀進(jìn)程名,對(duì)于apk來(lái)說(shuō),進(jìn)程名就是他的包名。
回想在 unidbg中 有個(gè)不起眼的報(bào)錯(cuò)
[11:26:48 927] INFO [com.github.unidbg.linux.ARM64SyscallHandler] (ARM64SyscallHandler:1309) - openat dirfd=-100, pathname=/proc/2256/cmdline, oflags=0x0, mode=0
這也是在提醒我們,讀取進(jìn)程名失敗了。
重定向io
unidbg是支持這種情況的,先讓 CaranywhereDemo 多繼承一個(gè) IOResolver 來(lái)做io重定向
public class CaranywhereDemo extends AbstractJni implements IOResolver<AndroidFileIO> {
...
public Caranywhere(String apkFilePath) throws DecoderException, IOException {
...
emulator.getSyscallHandler().addIOResolver(this);
...
}
FileResult<AndroidFileIO> f1;
public FileResult<AndroidFileIO> getF1(String pathname, int oflags) {
if (f1 == null) {
f1 = FileResult.<AndroidFileIO>success(new ByteArrayFileIO(oflags, pathname, "com.xxx.aeri.caranywhere".getBytes()));
}
System.out.println("new f1==" + pathname + "===" + vm.getPackageName());
return f1;
}
@Override
public FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {
System.out.println(pathname);
if ("/proc/self/cmdline".equals(pathname) || ("/proc/" + emulator.getPid() + "/cmdline").equals(pathname)) {
return getF1(pathname, oflags);
}
return null;
}
}
ok了,這幾步又和App跑的一樣了,大家又是好朋友了。
不過(guò)問(wèn)題還是沒(méi)有解決,跑出來(lái)的結(jié)果還是不對(duì),木有解密成功。而且貌似這個(gè)app還有坑,hook點(diǎn)一多就擺爛,直接崩潰。
得找新武器對(duì)付它了,期待下一章的大結(jié)局吧。
三、總結(jié)
何以解憂,唯有Trace。
能下斷點(diǎn)Debug的App,一定就逃不出手心了。所以現(xiàn)在App的關(guān)注點(diǎn)都是抵抗Debug,抵抗下斷點(diǎn)。
結(jié)果不對(duì),就和正確的結(jié)果去對(duì)比流程,跑的和你一模一樣,總沒(méi)毛病吧?
1:ffshow
凡說(shuō)之難 在知所說(shuō)之心 可以吾說(shuō)當(dāng)之
