测试环境:

调试器: IDA6.5

手机及系统版本:

 

.SO层脱壳

一:.如何到达壳入口点?

1.我是通过对dvmLoadNativeCode函数下断，分析它执行流程最后到达壳入口（如果您有更好的办法还请告知，感谢中...）,函数dvmLoadNativeCode是执行加载so文件的操作。(2.3系统是这个名字),2.3以上系统被名称粉碎了,不过在2.3以上系统中可以在libdvm.so中搜索函数名也是可以找到的，(我当前系统函数名为:_Z17dvmLoadNativeCodePKcP6ObjectPPc)如下图所示：

2.对dvmLoadNativeCode函数进行下断有些小技巧，前后下断点,等壳执行完成后反回就断在这里,如下图所示：

3.跟进这libdvm.so:4087B900 BLX unk_4083F694 函数后，分析其流程就可以发现有so的加载基址为0x5B97C000，如下图：

4.得到so在内存中基址后就可以用ReadELF -a xx.so来查看so文件的INIT_ARRAY文件偏移，如下图执行 ReadELF -a libprotectClass.so 命令后

5.我们用IDA静态反编译libprotectClass.so文件，然后去0xfd98地址去看看,是一个函数地址，如下图

该函数为：

6.得到了libprotectClass.so在内存中基址与INIT_ARRAY文件偏移，将它们相加即可得到so壳入口了0x5B97EF5C,去内存中看看,如下图:

是不是与__gnu_armfini_26函数很像呢?然后我们在该函下个断点，F9执行以这儿就可以接着分析so壳代码了。

二:so如何脱壳？

1.到达壳入口后我们单步跟踪看看，到修改代码属性这里

R0为要修改的开始地址

2.准备解密代码,跟进该函数。

在该函数里做解密代码操作，首先是拷贝0xA长度的密钥,如下图，然后初始化密钥

3.从初始化密钥函数来看，应该使用的是RC4算法，接着就是解密了。

R0为要解密的Buffer, R1为Buffer的大小, R3为初始化后的密钥。

4.算法 密钥 都知道了，我们可以写个程序来解密so了,如下图解密前后JNI_OnLoad对比。

解密前为:

解密后为:(代码己正常)

到此可以静态分析了，其它的小伙伴们自己去玩吧（^_^）, 解密算法RC4_so己放在附件中。

DEX 内存dump

 

1.接着上面so代码解密完成后，反回到这里, libdvm.so:4087B904 MOV   R1, R6

这时可以在JNI_OnLoad函数下断点了,如下图：

F9来到JNI_OnLoad函数,接着就是慢长的分析了。

详细的分析流程我就不细说了，想了解的现在可以自己动态与静态结合分析了，我们这次的目的是内存中dump完整的DEX。

到JNI_OnLoad函数后,到下面libprotectClass.so:5B88A22C BLX   R4下好断点。如下图

3.F9到这里后,F7跟进，然后在 mmap函数下断点, F9执行，当LR的地址为程序领空时反回下好断点(一定要是程序领空才有效,因为mmap会被多次调用),F9执行。

接下来R0将会存放解密后的Dex，然后F8走,直到该函数执行完成后，开始解密DEX开头0x70个字，解密完成后就可dump出来了,如下图：

到此完整的DEX己经出来了，下面我们Dump出来，打包反编译。

开始地址为0x5BC35000, 大小为0x005EDBA4, 结束地址为0x5C222BA4

4.将dump出来的dex重新打包并能成功反编,如下图：

5.到此整个过程就完成了，下面该做些什么小伙伴们自己发辉吧，我就不知道了。(^_^)。（样本就是上传了，想玩玩的去XX加固保官网下载去吧）

资料下载

http://yunpan.cn/cAFzDYcB6weWY （提取码：6e74）