[Android]《2015移动安全挑战赛》第三题的APK脱壳解法

信息安全 4827 Views

0x1:

首先,发现lib文件夹下有libmobisec.so,libmobisecy.so,libmobisecz.so三个文件。a.仔细观察,libmobisecy.so是一个zip包,里面存放了一个classes.dex文件,这dex文件里所有的函数代码都被改成throw new RuntimeException(); b.发现libmobisecz.so是一个非so文件的数据文件,其实里面存放的就是classes.dex被偷的代码和一些要修改的code0ff偏移地址(该文件经过lzma压缩,rc4加密)。0x2:

脱壳思路,其实只要把libmobisecz.so这个把解密后的数据给dump出来就行了,然后再根据里面的数据再把classes.dex给修复一下就行了。1.动态调试去anti000111BC 19 D6 01 EB BL sub_86A28 //这个函数就是在做各种anti的功能,把这个函数给nop调,就可以各种调了,nop方法把字节码19 D6 01 EB改成00 00 AO E1 (其实就是mov r0, r0)2.dump解密后的libmobisecz.so文件a.libmobisecz.so要解密,首先肯定得打开文件, 所以在open函数下断点, 观察LR返回连接寄存器是不是在libmobisec.so,如果是,再看 R0寄存器的地址内存是不是libmobisecz.so文件的路径,是的话,就在LR寄存器的地址下断点,运行一下,然后往下跟,就能看到RC4解密和lzma解密了,然后解密后的libmobisecz.so给dump下来,等后面修复用。b.接着在mprotect函数下断点,可以看到已被修改过classes.dex文件,dump下来后odex文件(把odex头去除)和之前的classes.dex比较,能发现有57处codeoff需要修复!0x3:

修改classes.dex文件a. 从解密的libmobisecz.so文件里能发现偏移+0x9,用readLEB128转一下为0x1e50(存放classes.dex第一个code_off地址),然后观察一下偏移处+0xBC为第一个DexCode结构数据。这样code_off起始地址有了,修复多少处codeoff也有了,DexCode结构数据,接下来就是修复了…b.修复classes.dex文件直接套用万抽抽大牛的python脚本修一下下就可以用了。附件为比赛第三题的APK文件,解密后的decrypted_libmobisecz.so文件,修复python脚本,和脱壳修复后的dex。

–推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

–内容分享

点击右上角“…”标志,分享到朋友圈

–更多精彩内容

请点击右上角“…”标志,点击“查看公众号”,往下拉一点再点击“查看历史消息”即可!

–官方论坛

www.52pojie.cn

如未说明则本站原创,转载请注明出处:NULL » [Android]《2015移动安全挑战赛》第三题的APK脱壳解法