有价之宝:戳这里 无价之宝:戳这里
最近同步分析ELF文件格式分析。 本文在大佬教学后进行笔记整理以及个人体会进行一个记录。
ELF文件格式分析(1)
1.so文件保护学习 2.自动吐出校验码 3.栈跟踪 4.adb简单调试
我们找到了一个关键的so文件。这个so文件的含义就是壳的含义。
这里有一个知识点。
JNI_OnLoad 的执行优先级是高于其他java输出函数。所以这里so文件就会执行这个函数,双击进行跳转。
JNI_OnLoad
当Android的VM(Virtual Machine)执行到C组件(即*so档)里的System.loadLibrary()函数时, 首先会去执行C组件里的JNI_OnLoad()函数。
EXPORT JNI_OnLoad LOAD:00001D28 JNI_OnLoad ; DATA XREF: LOAD:000003B4↑o LOAD:00001D28 LOAD:00001D28 ; FUNCTION CHUNK AT LOAD:00001818 SIZE 00000018 BYTES LOAD:00001D28 LOAD:00001D28 PUSH {R4-R7,LR} LOAD:00001D2A SUB SP, SP, #0x14 LOAD:00001D2C STR R1, [SP,#0xC] LOAD:00001D2E STR R0, [SP,#8] LOAD:00001D30 BLX getpid LOAD:00001D34 LDR R1, =(aLibegisSo_0 - 0x1D3C) LOAD:00001D36 LDR R4, =(off_5F50 - 0x1D42) LOAD:00001D38 ADD R1, PC ; "libegis.so" LOAD:00001D3A BL sub_15CC在so文件里看到一个so的文件名。
"libegis.so"这个就是自己本生的so名称,也就是说这里是自己调用了自己。
按f5进行查看。
发现这里进行一个调用。
进行上下文检查,发现了关键字符串
那么这个so的逻辑就是自我检测。
但是有一个问题就是这个so文件没有和java层进行交互,如果和java层不进行交互的话,那么这个so就没有意义。
但是还有一个可能就是这个so和其他的so有一定的联系。
我们接着打开 IDA进行egis_security这个so的分析
来看一下输出表。
这里就是java层的输出函数。
名称PayegisBarcode_decode,getZbarSoVersion
这里就是说这个so很有可能就是保护另外一个so文件的检验。
那么就是说 egis.so 自身保护自己。然后通过egis_security和java层进行交互,并且保护so。
相当于egis_security做了一个中间量,并且对进行交互的so进行了一个交互。egis.so 则是通过间接交互,来实现它的功能。
这里我们找到了一个相关的地方。 其实这个是重新写的,我作死,就没了。 不想啰嗦了。
向上查看。
invoke-virtual {v1, v0}, Ljava/lang/String;->equalsIgnoreCase(Ljava/lang/String;)Z这里发现是两个寄存器的值进行比较。
v1和v0
我们继续向上看,v1存的是什么东西。
invoke-virtual {v1}, Ljava/lang/String;->length()I我们找到这样一句话。
这句话就是说v1.length.计算字符串的大小。
为什么要计算大小呢?
if-nez v3, :cond_1 .line 38 :cond_0 iget-object v3, p0, Lcom/droider/sn/MainActivity$1;->this$0:Lcom/droider/sn/MainActivity; const-string v4, "\u8bf7\u8f93\u5165\u7528\u6237\u540d\u4e0e\u6ce8\u518c\u7801" invoke-static {v3, v4, v5}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast; move-result-object v3 invoke-virtual {v3}, Landroid/widget/Toast;->show()V下面有判断说:如果是0的话就输出请输入XXX就是没有的意思,那么我们就知道v1寄存器里存的是我们输入的东西。
相对的v0,就是和我们输入比较的东西,也就是我们要输出的寄存器。
我们输出v0寄存器里的值就可以了。
反编译之后找到这个位置。
.method private c()V .locals 2 .prologue .line 27 const-string v0, "who called me?" const/4 v1, 0x0 invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast; move-result-object v0 invoke-virtual {v0}, Landroid/widget/Toast;->show()V .line 29 return-void .end method这个的含义就是让你去判断是谁调用了c。
那么我们就要进行一个对栈进行打印了。
通过这四句来对堆栈进行一个打印。
这里输出结果就是 c,b,a。
但是栈有一个特点就是先进后出。
所以正确的顺序就是 a,b,c
所以很明显就是 a调用b,b调用c。
夜神模拟器
首先进行连接adb
adb connect 127.0.0.1:62001然后使用adb shell进行检测
这样就是连接成功了。
我们使用adb进行apk的安装
打开ddms。
因为虚拟机有问题,所以这里使用真机进行测试。
真机打开软件。
首先建立过滤规则。
进行简单过滤设置。
选择进程,然后点击这个按钮
点击之后,运行 软件,单击按钮。然后停止,进行抓取。
在这里我们可以清楚的看到软件的运行过程。
onclick
然后 a
然后b
然后c
1.知道了一种常见的保护逻辑。 2.基本的打印输出 3.知道了如何栈跟踪 4.ddms调试详细跟踪
