一、unidbg引入
逆向某App,反編譯dex得到Java代碼,但是有兩個加密工具類中的方法放到so檔案中。
方法的實作用的C語言編寫的,放在了so檔案中。在Java中,動态加載so檔案,使用native方法的形式隐藏了方法的方法體。難道偉大的逆向工程就此放棄?這顯然不符合我們技術人的性格,肯定要想方設法弄出來。
二、unidbg概述
unidbg 是一個基于 unicorn 的逆向工具,可以直接調用Android和iOS中的 so 檔案。項目的GitHub位址為https://github.com/zhkl0228/unidbg
我使用unidbg,直接調用libbaseEncryptLib.so、libencryptLib.so中的方法,這樣就不用想破腦袋去逆向so檔案了。
備 注 : \color{red}備注: 備注:so檔案是unix系統中的動态連接配接庫,屬于二進制檔案,作用相當于windows系統中的.dll檔案。在Android中也可調用動态庫檔案(*.so),一般會将加密算法、密碼等重要的方法、資訊使用C語言編寫,然後編譯成so檔案,增強了軟體的安全性。
三、unidbg使用姿勢
1、下載下傳unidbg項目
下載下傳位址:https://github.com/zhkl0228/unidbg
2、導入到IDEA中
unidbg
項目用
Java
編寫,并且上面下載下傳的是一個标準的
maven
項目。我這裡示範導入到
IDEA
中,如果你熟悉其它的
IDE
,也可以自己去弄。(順帶一提,如果你之前沒接觸過Java語言,要確定電腦安裝好
JDK
、
maven
)
①、解壓壓縮包
②、打開 IDEA
IDEA
浏覽到剛剛解壓好的檔案夾
後面一路無腦
next
即可。。。
第一次導入此項目會自動下載下傳一些
jar
包,和網速、
maven
伺服器有關,耐心等待吧。
3、測試 unidbg
unidbg
項目中的
src/test/java/com/xxxx/frameworks/core/encrypt
路徑中有一個
TTEncrypt
測試用例,直接執行其中的
main
方法。
控制台列印相關調用資訊,說明項目導入成功。
4、運作自己的so檔案
在前面,我們不是遇到了libbaseEncryptLib.so、libencryptLib.so檔案麼,利用unidbg直接調用so檔案中 的方法。下面示範調用libencryptLib.so檔案中的getGameKey函數。
①、編寫EncryptUtilsJni類
package cn.hestyle;
import com.github.unidbg.Module;
import com.github.unidbg.arm.ARMEmulator;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.memory.Memory;
import java.io.File;
import java.io.IOException;
/**
* description: EncryptUtils調用so
*
* @author hestyle
* @version 1.0
* @className unidbg->EncryptUtilsJni
* @date 2020-05-20 22:01
**/
public class EncryptUtilsJni extends AbstractJni {
// ARM模拟器
private final ARMEmulator emulator;
// vm
private final VM vm;
// 載入的子產品
private final Module module;
private final DvmClass TTEncryptUtils;
/**
*
* @param soFilePath 需要執行的so檔案路徑
* @param classPath 需要執行的函數所在的Java類路徑
* @throws IOException
*/
public EncryptUtilsJni(String soFilePath, String classPath) throws IOException {
// 建立app程序,包名可任意寫
emulator = new AndroidARMEmulator("cn.hestyle");
Memory memory = emulator.getMemory();
// 作者支援19和23兩個sdk
memory.setLibraryResolver(new AndroidResolver(23));
// 建立DalvikVM,利用apk本身,可以為null
vm = ((AndroidARMEmulator) emulator).createDalvikVM(null);
// (關鍵處1)加載so,填寫so的檔案路徑
DalvikModule dm = vm.loadLibrary(new File(soFilePath), false);
// 調用jni
dm.callJNI_OnLoad(emulator);
module = dm.getModule();
// (關鍵處2)加載so檔案中的哪個類,填寫完整的類路徑
TTEncryptUtils = vm.resolveClass(classPath);
}
/**
* 調用so檔案中的指定函數
* @param methodSign 傳入你要執行的函數資訊,需要完整的smali文法格式的函數簽名
* @param args 是即将調用的函數需要的參數
* @return 函數調用結果
*/
private String myJni(String methodSign, Object ...args) {
// 使用jni調用傳入的函數簽名對應的方法()
Number ret = TTEncryptUtils.callStaticJniMethod(emulator, methodSign, args);
// ret存放傳回調用結果存放的位址,獲得函數執行後傳回值
StringObject str = vm.getObject(ret.intValue() & 0xffffffffL);
return str.getValue();
}
/**
* 關閉模拟器
* @throws IOException
*/
private void destroy() throws IOException {
emulator.close();
System.out.println("emulator destroy...");
}
public static void main(String[] args) throws IOException {
// 1、需要調用的so檔案所在路徑
String soFilePath = "src/test/resources/myso/libencryptLib.so";
// 2、需要調用函數所在的Java類完整路徑,比如a/b/c/d等等,注意需要用/代替.
String classPath = "com/.../EncryptUtils";
// 3、需要調用函數的函數簽名,我這裡調用EncryptUtils中的getGameKey方法,由于此方法沒有參數清單,是以不需要傳入
String methodSign = "getGameKey()Ljava/lang/String;";
EncryptUtilsJni encryptUtilsJni = new EncryptUtilsJni(soFilePath, classPath);
// 輸出getGameKey方法調用結果
System.err.println(encryptUtilsJni.myJni(methodSign));
encryptUtilsJni.destroy();
}
} ②、參數說明
EncryptUtilsJni類中最重要的設定為main方法中的soFilePath、classPath、methodSign三個參數,它們的作用在main方法中已經注釋過了,這裡再次解釋一下。
soFilePath,填寫你需要調用的so檔案路徑
classPath,填寫你需要調用的函數所在Java類的完整類路徑。
methodSign,填寫你要調用的函數簽名,文法為smali。(在jadx中,直接可以看smali代碼)
備 注 : \color{red}備注: 備注:如果你要調用的函數還需要傳入參數,直接傳入myJni方法中即可,myJni方法中省略args參數就是供你傳入參數。
③、執行結果
四、分析so檔案的IDA工具
IDA工具是反彙編so檔案的強大工具,由于libencryptLib.so檔案比較簡單,并且getGameKey函數傳回的是一個常量,并沒有複雜的處理過程,是以可以直接檢視。
首先用IDA打開libencryptLib.so檔案
檢視反彙編得到的代碼。