初试so文件解密

roger

本文为看雪安卓高研2w班（5月班）优秀学员作品。下面先让我们来看看讲师对学员学习成果的点评，以及学员的学习心得吧！
　　讲师点评

对于APK的逆向来说，第一步往往就是先完成对App中java代码的脱壳；接下来要做的就是静态的逆向分析或者是结合动态的hook等对运行逻辑进行分析；最后，难度大一些的App往往就会进入到so中的函数当中，安全强度大的App甚至是会再次对so进行加壳。

但不论是dex的脱壳，还是so的脱壳，时机都是非常关键的。时机不对，即使是正确的内存地址偏移，dump得到的smali指令流以及汇编代码都可能是不对的，依然是未解密的字节流。

这道题考察的是对elf文件的结构知识的掌握。

这个App对so中函数进行了保护，在被保护的函数的关键逻辑执行前进行解密，执行结束后会再次对关键逻辑进行加密。

这位学员有着扎实的基本功，才能够快速抓住重点，成功拿下flag。

　　学员感想
　　这里是2W班5月的习题。题目中对一个native函数进行了加密，导致IDA无法看到运行时的代码。
　　
　　加密方式来自于论坛比较久的帖子ThomasKing大佬的简单粗暴的so加解密实现 。照搬了大佬的代码，然后修改了一下加密方式即可完成解密。
　　
　　通过本题学习到了so文件的格式解析，基础的加解密思路。

ps. 题目附件请点击“阅读原文”下载。

现在，看雪《安卓高级研修班（网课）》9月班开始招生啦！点击查看详情报名吧~

　　
　　解题过程
　　步骤1：尝试用Fart脱壳

　　顺利完成，查找相关dex：
　　
　　sailfish:/data/data/com.kanxue.test # grep -ril "MainActivity" ./*.txt
　　./2203744_classlist.txt
　　./2203744_classlist_execute.txt
　　
　　拷贝出2203744大小的dex。
　　步骤2：查看Java层代码

　　OnCreate去绑定事件，test函数进行的字符串比较。
　　步骤3：查看so文件中test的代码
　　addr_RegisterNatives: test
　　addr_RegisterNatives: (Ljava/lang/Object;)Z
　　addr_RegisterNatives func: 0x8dc5
　　test是动态注册的，注册地址是0x8dc5

　　
　　反汇编代码比较奇怪。
　　查看下sub_8930：

　　这里获取so地址，然后查找ooxx函数的偏移：

　　
　　查找libnative-lib.so 内存中地址：

　　看这段代码和so文件加密帖子（https://bbs.pediy.com/thread-191649.htm）给出的demo非常像，只是函数加密的方式不一样，具体思路可以直接去查看原帖。
　　步骤4：解密so文件
　　加密是找到函数偏移和长度，进行位运算，所以解密也就按照一样的方式还原即可。
　　
　　下图是运行效果：

　　解密后再次反编译，解密方法参考帖子给出的代码，代码在Windows下读取so文件会出现读取不准确，不知道为什么。最终在ubuntu下运行正常。

　　直接比对的，没加密。使用frida查看1C04C就是kanxuetest。
　　输入效验正确。

　　- End -

　　看雪ID：无造

https://bbs.pediy.com/user-571058.htm

  *本文由看雪论坛 无造 原创，转载请注明来自看雪社区。

游客，如果您要查看本帖隐藏内容请回复

---

sumo

感谢分享