一、目标
App安全的主战场在Native层,分析Native层的so,最趁手的兵器就是Frida和Unidbg了。
今天我们的目标是 某汽车社区App v8.0.1 so decrypt 和 encrypt 函数的分析。
二、步骤
特征字符串定位
我们在上一篇教程 某汽车社区App 签名和加解密分析 已经定位了,数据加密和解密函数再java层的位置。
按照常理来说,这个java类文件中,应该有个 System.loadLibrary("libxxx") 来方便我们定位对应的so。
可惜的是,这个样本里找不到。原因大概率是脱壳不完整。
既然没这么简单,我们再回忆一下加密串的特征:
1、sd= 开头
2、数据都是大写的M开头
3、== 结尾,那大概率是Base64
有共性就好办了,我们在Native层匹配下 M 开头的字符串,匹配到了就打印Native层的堆栈。
if(string.toString().length > 50 && string.toString().indexOf("M") == 0){
var threadef = Java.use('java.lang.Thread');
var threadinstance = threadef.$new();
console.log("[NewStringUTF] bytes:" + string);
console.log(Thread.backtrace(this.context, Backtracer.FUZZY)
.map(DebugSymbol.fromAddress).join("\n"))
}
跑一下
结果是出来了,但是这个结果很有料呀。 没听说过江湖上有 1ef38371-d2a4-4ade-8510-d08f5c05fe5f-32.so 这种名号的so。
全局搜索
这个奇怪的so在apk里面肯定是找不到了。我们在手机里去找一找。
要玩好Android,那么linux命令不可少,搜索文件用find命令
find / -name '1ef38371-d2a4-4ade-8510-d08f5c05fe5f-32.so' -print
我去,没道理呀,居然搜不到?当然不会是我们find命令输错了。
在加密或者加壳的手段下,是可以实现手机只有加密文件,只在内存中加载解密后的so。
Frida Dump So
今天的重头戏就是这个了。so在内存里面,如何把它搞出来?
第一步: 把冰箱门打开
var libxx = Process.getModuleByName("210f3bcc-51b1-4f3c-9ca4-c429ad93ded1-32.so");
console.log("*****************************************************");
console.log("name: " +libxx.name);
console.log("base: " +libxx.base);
console.log("size: " +ptr(libxx.size));
打印出了这个神奇的so的地址和大小
*****************************************************
name: 210f3bcc-51b1-4f3c-9ca4-c429ad93ded1-32.so
base: 0xc380c000
size: 0xec9000
第二步:把大象塞进冰箱
var file_path = "/data/data/com.clxxx.lxxxlxxxbxxx/" + libxx.name + "_" + libxx.base + "_" + ptr(libxx.size) + ".so";
console.log(file_path);
var file_handle = new File(file_path, "wb");
if (file_handle && file_handle != null) {
Memory.protect(ptr(libxx.base), libxx.size, 'rwx');
var libso_buffer = ptr(libxx.base).readByteArray(libxx.size);
file_handle.write(libso_buffer);
file_handle.flush();
file_handle.close();
console.log("[dump]:", file_path);
}
注意: 写so文件的时候,把文件写在 /data/data/包名 目录下,这个目录大概率下是可以读写的。
第三步: 把冰箱门关上
最后把dump的so用adb命令 pull出来。
如果没有pull /data/data/包名 这个目录的权限,那就先copy到 /data/local/tmp 目录下面。
现在可以拖进ida愉快的分析了。
三、总结
先找共性,然后再定位。字符串定位的套路都是一样的。
如果样本没有调用 NewStringUTF 或者 GetStringUTFChars 怎么办?
我觉得还可以考虑libc.so, malloc strcpy 这些标准C函数 Hook一下,应该也会有惊喜。
Linux命令可以熟悉下,关键时刻还是有用的。
俄罗斯方块教会了我们,如果你合群,就会消失。
关注微信公众号,最新技术干货实时推送
文章作者 奋飞
上次更新 2021-12-07
许可协议 奋飞安全原创,转载请注明出处。