【逆向分析】静态分析_Navtive_ISCC_2017

原创 已于 2023-12-12 22:05:28 修改 · 439 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#android #android安全
于 2023-02-01 22:17:35 首次发布
文章详细展示了对Java层Native函数的静态分析过程,通过反编译和汇编代码解析,重点讨论了内存分配、字符串处理及位操作等技术,包括malloc、memset、memcpy和strcmp函数的使用,以及如何通过位移和比较操作实现特定的字符串操作。最终,文章给出了一个基于分析结果的解密示例,涉及字符串首位互换和比较的逻辑。

【逆向分析】静态分析_Navtive_ISCC_2017

分析

Java层jadx反编译
在这里插入图片描述

目标函数是native函数,所以这里需要静态分析native
直接搜目标函数
在这里插入图片描述
开始读汇编


        ; ================ B E G I N N I N G   O F   P R O C E D U R E ================

        ; Variables:
        ;    var_1C: int32_t, -28
        ;    var_28: int32_t, -40

native_checkFlag:
push       {r4, r5, r6, r7, lr}
sub        sp, #0x14
adds       r6, r0, #0x0
adds       r0, r3, #0x0 ; argument "__size" for method malloc@PLT
adds       r5, r3, #0x0
str        r2, [sp, #0x28 + var_1C] (r2存下来)
blx        malloc@PLT   ; malloc (创建空间)
ldr        r2, [r6] (r2 = r6)
movs       r3, #0xc8 (r3 = 200)
str        r0, [sp, #0x28 + var_28] (r0 存下来)
lsls       r3, r3, #0x2 (r3 = r3 左移两位)
ldr        r4, [r2, r3] (r4 = r2 + r3 )
ldr        r1, [sp, #0x28 + var_1C]
adds       r3, r5, #0x0
movs       r2, #0x0
adds       r7, r0, #0x0
adds       r0, r6, #0x0
blx        r4
adds       r4, r5, #0x1
adds       r0, r4, #0x0 ; argument "__size" for method malloc@PLT
blx        malloc@PLT   ; malloc
movs       r1, #0x0     ; argument "__c" for method memset@PLT
adds       r6, r0, #0x0
adds       r2, r4, #0x0 ; argument "__n" for method memset@PLT
blx        memset@PLT   ; memset
adds       r2, r5, #0x0 ; argument "__n" for method memcpy@PLT
adds       r0, r6, #0x0 ; argument "__dest" for method memcpy@PLT
adds       r1, r7, #0x0 ; argument "__src" for method memcpy@PLT
blx        memcpy@PLT   ; memcpy
lsrs       r0, r5, #0x1f
adds       r0, r0, r5
asrs       r0, r0, #0x1
movs       r2, #0x0
str        r0, [sp, #0x28 + var_1C]
adds       r3, r2, #0x0 (r3 = r2 + 0)
b          loc_d5a

loc_d5a:
ldr        r1, [sp, #0x28 + var_1C] ; CODE XREF=native_checkFlag+78
subs       r2, #0x1 (r2 = r2 -1 ,这里就是r3 一开始和 r2 相同然后一个+1 一个 -1)
cmp        r3, r1 (r3 和 r1比较)
blt        loc_d4c (小于就跳loc_d4c)

loc_d4c:
ldrb       r4, [r6, r3] ; CODE XREF=native_checkFlag+100 (r4 = r6 + r3)
adds       r1, r6, r5 ( r1 = r6 + r5)
ldrb       r0, [r1, r2] (r0 = r1 + r2)
subs       r4, #0x5(r4 = r4 - 5)
strb       r0, [r6, r3] ( r6+ r3 = r0)
strb       r4, [r1, r2] (r1 + r2 = r4 ) (也就是r1 + r2 的值放到了r6 + r3上面,r6 + r3的值-5放到了r1+r2的位置)
adds       r3, #0x1 (r3  = r3+1)

ldr        r1, =0x15f8  ; 0xd88,0x15f8
movs       r3, #0x0
strb       r3, [r6, r5]
add        r1, pc       ; argument "__s2" for method strcmp@PLT, "=0HWYl1SE5UQWFfN?I+PEo.UcshU"
adds       r0, r6, #0x0 ; argument "__s1" for method strcmp@PLT
blx        strcmp@PLT   ; strcmp
adds       r4, r0, #0x0
adds       r0, r6, #0x0 ; argument "__ptr" for method free@PLT
blx        free@PLT     ; free
adds       r0, r7, #0x0 ; argument "__ptr" for method free@PLT
blx        free@PLT     ; free
add        sp, #0x14
rsbs       r0, r4, #0x0
adcs       r0, r4
pop        {r4, r5, r6, r7, pc}

转成C语言来看看

int native_checkFlag(int arg0, int arg1, int arg2, int arg3) {
    r4 = arg3;
    r0 = malloc(arg3);(内存分配arg3大小)
    r5 = r0;(r5新开辟了一个空间)
    (*(*arg0 + 0x320))(arg0, arg2, 0x0, r4, r0);
    r0 = malloc(r4 + 0x1);
    r6 = r0;(r6新开辟了一个空间)
    memset(r0, 0x0, r4 + 0x1);(将新开辟的空间填充字符0x0memcpy(r6, r5, r4);(从r5复制东西到r6,也就是r0呗,也就是都变成了0x0,长度是r4和r4+1,可以理解r0,r5,r6都是装满0的空间)
    r2 = 0x0;
    r1 = r6 + r4;
    r0 = SAR(r4 + r4 / 0x80000000, 0x1); (看汇编:asrs       r0, r0, #0x1 就是r0 = r0 >> 1 也就是 r0 = r0/2 )
    r3 = r2;
    do {
            r2 = r2 - 0x1; (r2从0开始-1)
            if (r3 >= r0) {(此时的r0是原来的一半)
                break;
            }
            lr = *(int8_t *)(r1 + r2);(r6+r4-r3)(r6是起点,r4是终点)
            r7 = *(int8_t *)(r6 + r3);(r6+r3)
            *(int8_t *)(r6 + r3) = lr;
            r3 = r3 + 0x1;(r3从0开始+1*(int8_t *)(r1 + r2) = r7 - 0x5;(互换位置,并且后面的换到前面还-5} while (true);
    *(int8_t *)(r6 + r4) = 0x0; 直到首位碰头
    r4 = strcmp(r6, "=0HWYl1SE5UQWFfN?I+PEo.UcshU");(将我们的r6和这个字符串进行比较)
    free(r6);
    free(r5);
    r0 = 0x1 - r4;(
    这里来看汇编吧:
             rsbs.w     r0, r4, #0x1 (逆向减法 r0 = 1 - r4)
00000d80         it         lo (如果小于)
00000d82         movslo     r0, #0x0 (没懂)
00000d84         pop.w      {r2, r3, r4, r5, r6, r7, r8, pc}if (r0 < 0x0) {
            asm { movslo     r0, #0x0 };
    }
    return r0;
}

虽然有些细节没明白,大概意思是一个字符串首位互换,并且尾换到首时-5 和指定字符串比较就行,可以逆推回去原始字符串。

import base64

ans = '=0HWYl1SE5UQWFfN?I+PEo.UcshU'
length = len(ans)
flag_suf = []
flag_pre = []

for i in range(length//2):
    flag_suf.append(ans[i])
    flag_pre.append(chr(ord(ans[(i+1)*(-1)]) + 5))
print(base64.b64decode("".join(flag_pre + flag_suf[::-1])))

在这里插入图片描述

flag{ISCCJAVANDKYXX}
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
静态分析技术:Jadx-GUI高级用法与模式识别
好看资源网的博客
03-15 862
敏感API检测插件@Override。
CTF--信息技术对抗赛ISCC之安卓逆向分析
关注互联网安全的小虾米一枚
05-19 5744
0x01 题目介绍    本题目是一道信息安全大赛上的安卓逆向题目,主要考察选手,逆向分析能力,反汇编能力,安卓程序结构分析能力,以及常见的安全加密编码算法得能力。题目下载 http://download.csdn.net/detail/bjtbjt/9846682可能部分步骤过于啰嗦,大佬略过。方便入门者学习。这个题目拿到手是个安卓apk程序。下载下来,我们先不着急进行分析。先对其程序apk安装...
jadx:JAVA/Android应用反编译工具全面解析
weixin_42181686的博客
06-09 1495
Jadx是一个流行的开源工具,由Kotaku开发,其主要用途是对Android应用进行反编译。反编译是指将编译后的代码转换回可读形式的过程。在Android应用开发中,它允许开发者、安全分析师和研究人员理解应用程序的内部工作原理。开发者可以使用jadx来回顾自己的代码,查找和修复潜在的bug,或者学习其他人的代码架构。同时,它也为安全研究提供了极大的便利,安全研究人员可以利用jadx进行恶意软件分析,找出应用中的漏洞。在软件开发与逆向工程中,代码结构的可视化对于理解程序的运行流程和逻辑结构至关重要。
渗透测试之浅谈APK数据包解密
Machao629
02-11 1万+
解决渗透测试过程中的数据包解密
Android逆向之旅---静态分析技术来破解Apk
weixin_30835933的博客
11-28 754
一、前言从这篇文章开始我们开始我们的破解之路,之前的几篇文章中我们是如何讲解怎么加固我们的Apk,防止被别人破解,那么现在我们要开始破解我们的Apk,针对于之前的加密方式采用相对应的破解技术,Android中的破解其实大体上可以分为静态分析和动态分析,对于这两种方式又可以细分为Java层(smail和dex)和native层(so)。所以我们今天主要来讲解如何通过静态分析来破解我们的apk,这...
逆向分析静态分析_Navtive_小计
HWHXY的博客
02-01 693
静态分析_native_小计,Android So代码
某搜索app的native层分析
weixin_42545308的博客
11-16 543
某搜索引擎,微信公众号文章,pc端没有时间排序功能,只有app可以筛选时间。 通过抓包看到请求的request和response都是加密的,ok开始分析 搜索大法,直接搜url,就可以直接定位关键点。request加密和response解密的位置似乎都很清晰了,加解密都是通过SCoreTools.so中的函数来实现的。这里定位还是比较容易的,直接打开so文件开始分析。 ida打开so文件,查看导出表,四个静态注册的函数,先来看一下请求的encrypt。 通过hook观察,第一个参数是固定的一个ur
app安卓逆向之native层代码静态分析基础
weixin_43900244的博客
06-24 6571
app安卓逆向之Native层代码静态分析基础Native层代码静态分析1.背景分析2.概述3.开始3.1 ARM指令3.2 IDA基本使用方法3.3 Java层调用Native层方法原理3.4 Native层代码的修改3.5 So文件替换4.总结 Native层代码静态分析 1.背景分析 在安卓逆向的过程当中会遇到以下场景 经过上一阶段的Java层代码静态分析以及动态调试,发现加密参数的生成方法调用了Native层方法 经过对Native层代码分析后修改对应代码,替换原so文件发现app运行异常 针对
ISCC2017部分题目wp
热门推荐
xuqi7
05-26 1万+
比赛网址:http://iscc.isclab.org.cn 小菜做的一些题
安卓逆向——某宝app抓取(jadx分析补充)
含笑
04-26 1852
某宝app抓取(jadx分析补充) 1. jadx 直接打开 搜索不到 核心的加密代码 当 jadx 反编译,分析的时候 发现有大片黄色的伪代码的时候,就是jadx没反编译出来的,用 命令强制反编译 jadx-gui --show-bad-code test.apk 2. jadx源码分析 搜素 到 a3.get 进去后,看到 在 buildParams 方法, a3.get 的 a3 是由HashMap<String, String> a3 = l...
安卓JNI动态注册分析
抚琴
03-03 514
打开某ctf的apk运行结果如下 使用jadx打开apk后,查看关键代码如下: package org.isclab.iscc; import android.app.Activity; import android.os.Bundle; import android.util.Log; import android.view.Menu; import android.view.MenuItem; import android.view.View; import android.widget.Butto
APK逆向静态分析
随心散人专栏
05-09 3972
0x00 APK包结构    0x11 apktool    
浅谈逆向——静态分析简介(静态分析1)
qq_38684512的博客
01-28 1678
浅谈逆向-IDA简介IDA PROIDA反汇编选项配置IDA界面简介交叉参考参考重命名标签创建函数 IDA PRO IDA是按照区块装载PE文件的。 .text | 代码块 .data | 数据块 .rsrc | 资源块 .idata | 输入表 .cdata | 输出表 IDA反汇编选项配置 Option-&amp;amp;amp;gt;General(选项-&amp;amp;amp;gt;常规) 左侧从上至下...
Lottie Android:设计师交付动画,开发直接用
最新发布
pythonpioneer的博客
06-21 168
Lottie Android是由Airbnb开源的高星动画库,它通过解析After Effects导出的JSON文件,实现设计师与开发者无缝协作。支持Android、iOS、Web等多平台,一份动画资源全端通用。开发者只需简单集成,即可加载播放设计师制作的动画,完美还原效果。Lottie支持大多数AE特性,包括关键帧、遮罩、混合模式等,已广泛应用于启动页、交互动效等场景。相比传统实现方式,Lottie具有体积小、跨平台一致、设计开发高效协同等优势,目前由Airbnb团队持续维护,社区活跃度高。
Android学习25--SDK3(TODO)
fanged的专栏
06-21 435
本文主要总结了Android AOSP和高通SDK的开发重点目录结构。AOSP方面,核心关注frameworks、system、hardware、kernel等目录,涉及BSP开发、系统服务修改和内置App开发。高通SDK部分,重点在vendor/qcom目录下的HAL/驱动代码,以及QSSI(通用系统镜像)和Vendor(硬件相关)的分离编译架构。作者反思了之前未及时总结高通开发经验的遗憾,建议开发者重点关注芯片厂商提供的闭源代码和硬件抽象层实现。文章对比了标准AOSP和高通扩展的目录差异,为Androi
MTK-Android12-底部导航失效-问题详解
十年饮冰,难凉热血
06-15 250
以前做过相关的手势底部导航失效,然后针对性的解决方案,可是实际发现这个手势导航失效居然偶现,经过几天的不断查阅资料和调试最终修复了底部手势导航失效的问题。捋清楚手势导航思路-源码级别一步一步分析、手势框架解决了实际问题App原因 导致系统只能适配来解决随机概率性手势失效问题既然App原因,那么最优解就是App修改,但是很多时候App客户就是不改,导致系统必须适配,针对性适配。
移动端浏览器自动化:Playwright for Android 实战
weixin_41943766的博客
06-15 324
Playwright在移动端自动化测试中的应用探索 本文深入探讨了微软Playwright框架在Android平台上的自动化测试实践。作为新一代Web自动化工具,Playwright凭借其统一的API设计、直接浏览器控制能力和卓越的执行性能,显著优于传统工具如Appium。文章详细介绍了环境搭建步骤、核心API使用方法,并通过三个实战案例展示了移动Web应用测试、混合应用WebView测试以及设备级操作的综合应用。特别对比了Playwright与Appium的优劣势,指出Playwright在移动Web和W
[Android]_[中级]_[如何创建MVVM架构原型]
小白
06-16 327
1. 最近需要开发一个`Android`数据传输的`App`,所以去重新找了下官方的开发者文档学习。目前谷歌的安卓开发者文档网站已经去掉了`Java`语言的示例,只有`Kotlin`的`Jetpack Compose`; 同时相关的`Java`版本的`View,DataBinding`包已经进入了维护阶段,即不添加新特性,只进行安全更新;
Android OS系统kswapd、kworker、HeapTaskDaemon/heapdamon对卡顿丢帧及应用流畅性的影响
Zhang Phil
06-15 277
Android系统中,kswapd(内存回收线程)、kworker(内核工作线程)和HeapTaskDaemon(堆管理线程)的异常活跃可能导致应用卡顿和丢帧。当这些线程在动画或滑动期间持续占用CPU、触发内存回收或GC时,会通过三种典型路径影响流畅性:(1)kswapd引发内存压缩和CPU竞争;(2)kworker处理IO/GPU任务阻塞渲染管线;(3)HeapTaskDaemon触发GC暂停。复合压力下,三者同时活跃会导致UI/Render线程无法在16.6ms(60Hz)帧周期内完成任务。优化需双管齐
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值