算法还原实战7

分析样例下载：链接: https://pan.baidu.com/s/13iMgWwFattwNS6PmEA16Bg 密码: avtb

练习algorithmbase_70.apk

老样子直接ida打开libnative-lib.so然后frida打印一下输入和输出

function hook_java(){
    Java.perform(function(){
        var native_lib=Java.use("com.kanxue.algorithmbase.MainActivity");
        native_lib.encodeFromJni_70.implementation=function(input){
            var res=this.encodeFromJni_70(input);
            console.log("input:",input,"output:",res);
            return res;
        }
    });
}
function main(){
    hook_java();
}
setImmediate(main)

下面是打印的结果。加密的结果的长度是96。

1	input: dIQoDwUgEuDPctWyFTlCGoenlVCGJWsQkazyUtgkP output: 4EAE672D1C1F5CDB05A90C4D5AEAA417057BF6D0E0082777EEB83F15DD591F54303BF937B7E5F298266D412BAE430DC0

然后我们修改一下这个字符串的特征。例如长度修改一下看看加密的结果有什么不同

1
2
3

input: 000000                                     output: 1B0F4D1A2743DAC43AE630208005759B
input: 000000000000                         output: D19C887F85B85FA7718D07ACE365762F
input: 000000000000000000000000 output: 559CFDDC0EFB9178E92DEFAD02ACA99DECB4EB6F7C6A3C2AF24E34BE3615498A

测试了一下后。发现特征。当长度不超过0x10时。加密结果的长度不会变。当长度超过0x10时。则长度发生变化。这个特征和aes、rc2的特征非常像。我们用aes和rc2的加密随便测试一下看看特征

#rc2
input: 000000                                        output: 6d31ec02d637b158
input: 000000000000                         output: 28c39f84769cabe1df0cbae8524aba1b
input: 000000000000000000000000 output: 28c39f84769cabe1c82b75ff9fd684274ab4dcbf91c63296c4e12ee98c721fc7
#aes
input: 000000                                        output: a2ddb2109958049280e4b4f1da0ed884
input: 000000000000                         output: e4a62440cf35c675a2afc6c0373c526e
input: 000000000000000000000000 output: 7f81b6fe31ddef2804cd2430b950d124523f6f448be52698c1986b956fd26ea2

从特征上面看。这个可能是aes加密。这个时候就要继续静态分析找更多的特征来确定是aes。

先从返回值设置的地方向上找。一路找到sub_177F8函数。然后我们frida来打印下这个函数的参数和返回值。然后发现这个函数最后一次调用的时候。返回值是我们看到的加密结果

onLeave sub_177F8
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be7952e0  35 35 39 43 46 44 44 43 30 45 46 42 39 31 37 38  559CFDDC0EFB9178
77be7952f0  45 39 32 44 45 46 41 44 30 32 41 43 41 39 39 44  E92DEFAD02ACA99D
77be795300  45 43 42 34 45 42 36 46 37 43 36 41 33 43 32 41  ECB4EB6F7C6A3C2A
input: 000000000000000000000000 output: 559CFDDC0EFB9178E92DEFAD02ACA99DECB4EB6F7C6A3C2AF24E34BE3615498A

然后为了确定是这个函数计算出来的。还是说只是刚好这个时机是有结果的。我们改造一下frida脚本。打印堆栈。并且在入参的指针里面找到同一块内存的位置。在函数进入前就hexdump看下

function hook_native(){
    var base_addr=Module.getBaseAddress("libnative-lib.so");
    var sub_177F8=base_addr.add(0x177F8);
    Interceptor.attach(sub_177F8,{
        onEnter:function(args){
            console.log("onEnter sub_177F8");
            this.arg0=args[0];
            console.log(hexdump(this.arg0.add(0x10).readPointer(),{length:0x30}))
            console.log(Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
        },onLeave:function(retval){
            console.log("onLeave sub_177F8");
            console.log(hexdump(ptr(retval),{length:0x30}))
        }
    })
}

最后打印的结果可以看到。这个函数进入前。结果就已经有值了

onEnter sub_177F8
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be7952e0  35 35 39 43 46 44 44 43 30 45 46 42 39 31 37 38  559CFDDC0EFB9178
77be7952f0  45 39 32 44 45 46 41 44 30 32 41 43 41 39 39 44  E92DEFAD02ACA99D
77be795300  45 43 42 34 45 42 36 46 37 43 36 41 33 43 32 41  ECB4EB6F7C6A3C2A
0x77bea02098 libnative-lib.so!Java_com_kanxue_algorithmbase_MainActivity_encodeFromJni_170+0x278
0x77bec1e0cc base.odex!oatexec+0xcc

onLeave sub_177F8
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be7952e0  35 35 39 43 46 44 44 43 30 45 46 42 39 31 37 38  559CFDDC0EFB9178
77be7952f0  45 39 32 44 45 46 41 44 30 32 41 43 41 39 39 44  E92DEFAD02ACA99D
77be795300  45 43 42 34 45 42 36 46 37 43 36 41 33 43 32 41  ECB4EB6F7C6A3C2A
input: 000000000000000000000000 output: 559CFDDC0EFB9178E92DEFAD02ACA99DECB4EB6F7C6A3C2AF24E34BE3615498A

不过这里同时也看到了调用堆栈。并且也知道了结果值修改估计是通过第一个参数来修改的。因为第一个参数指向的内存里面是有加密结果的指针。所以接着找关于第一个参数v18的使用的地方。接着找到函数sub_12580。继续frida分析一下先。下面贴上frida的代码

var sub_12580=base_addr.add(0x12580);
    Interceptor.attach(sub_12580,{
        onEnter:function(args){
            console.log("onEnter sub_12580");
            this.arg0=args[0];
            this.arg1=args[1];
            console.log(hexdump(this.arg0.add(0x10).readPointer(),{length:0x40}));
        },onLeave:function(retval){
            console.log("onLeave sub_12580");
            console.log(hexdump(this.arg0.add(0x10).readPointer(),{length:0x40}));
            console.log(hexdump(retval.add(0x10).readPointer(),{length:0x40}));
        }
    })

然后输出结果如下。可这里猜测第一个参数可能是一个0x20长度的key。然后返回值是加密结果

onEnter sub_12580
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be3bb740  55 9c fd dc 0e fb 91 78 e9 2d ef ad 02 ac a9 9d  U......x.-......
77be3bb750  ec b4 eb 6f 7c 6a 3c 2a f2 4e 34 be 36 15 49 8a  ...o|j<*.N4.6.I.
77be3bb760  00 6f 6d 55 74 69 6c 73 2e 6e 65 78 74 49 6e 74  .omUtils.nextInt
77be3bb770  28 69 6e 74 2c 20 69 6e 74 29 00 6c 65 28 29 00  (int, int).le().
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be7a6f00  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
77be7a6f10  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
77be7a6f20  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
77be7a6f30  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
onLeave sub_12580
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77be3bb740  55 9c fd dc 0e fb 91 78 e9 2d ef ad 02 ac a9 9d  U......x.-......
77be3bb750  ec b4 eb 6f 7c 6a 3c 2a f2 4e 34 be 36 15 49 8a  ...o|j<*.N4.6.I.
77be3bb760  00 6f 6d 55 74 69 6c 73 2e 6e 65 78 74 49 6e 74  .omUtils.nextInt
77be3bb770  28 69 6e 74 2c 20 69 6e 74 29 00 6c 65 28 29 00  (int, int).le().
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77d583f120  35 35 39 43 46 44 44 43 30 45 46 42 39 31 37 38  559CFDDC0EFB9178
77d583f130  45 39 32 44 45 46 41 44 30 32 41 43 41 39 39 44  E92DEFAD02ACA99D
77d583f140  45 43 42 34 45 42 36 46 37 43 36 41 33 43 32 41  ECB4EB6F7C6A3C2A
77d583f150  46 32 34 45 33 34 42 45 33 36 31 35 34 39 38 41  F24E34BE3615498A
input: 000000000000000000000000 output: 559CFDDC0EFB9178E92DEFAD02ACA99DECB4EB6F7C6A3C2AF24E34BE3615498A

然后继续分析上一个函数sub_57514。这里可能是生成key的地方。先hook分析参数和返回值

var sub_57514=base_addr.add(0x57514);
    Interceptor.attach(sub_57514,{
        onEnter:function(args){
            console.log("onEnter sub_57514");
              hexdumpMem(args[0])
            hexdumpMem(args[1])
            hexdumpMem(args[2])
        },onLeave:function(retval){
            console.log("onLeave sub_57514");
            console.log(retval);
        }
    })

然后贴上结果。看到了另外一串kanxue_imyang___字符串。并且发现我们加密的结果后面填充到了0x20的长度。尾数是08

onEnter sub_57514
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77bea70080  6b 61 6e 78 75 65 5f 69 6d 79 61 6e 67 5f 5f 5f  kanxue_imyang___
77bea70090  00 00 00 00 00 00 00 00 62 61 73 69 63 5f 73 74  ........basic_st
77bea700a0  72 69 6e 67 00 00 00 00 00 00 00 00 00 00 00 00  ring............
77bea700b0  61 6c 6c 6f 63 61 74 6f 72 3c 54 3e 3a 3a 61 6c  allocator<T>::al
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77bea70080  6b 61 6e 78 75 65 5f 69 6d 79 61 6e 67 5f 5f 5f  kanxue_imyang___
77bea70090  00 00 00 00 00 00 00 00 62 61 73 69 63 5f 73 74  ........basic_st
77bea700a0  72 69 6e 67 00 00 00 00 00 00 00 00 00 00 00 00  ring............
77bea700b0  61 6c 6c 6f 63 61 74 6f 72 3c 54 3e 3a 3a 61 6c  allocator<T>::al
             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
77ca65b240  30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30  0000000000000000
77ca65b250  30 30 30 30 30 30 30 30 08 08 08 08 08 08 08 08  00000000........
77ca65b260  00 6f 6d 55 74 69 6c 73 2e 6e 65 78 74 49 6e 74  .omUtils.nextInt
77ca65b270  28 69 6e 74 2c 20 69 6e 74 29 00 6c 65 28 29 00  (int, int).le().
onLeave sub_57514
0x0
input: 000000000000000000000000 output: 559CFDDC0EFB9178E92DEFAD02ACA99DECB4EB6F7C6A3C2AF24E34BE3615498A

这个函数就很明显像是加密函数了。正好和我们猜测的aes需要的字段相近。参数1应该是key。参数2应该是iv。参数3是输入数据。那么验证一下看看。结果和上面的能对上了。搞定了。