梆梆加固方案分析和破解

978696771 发布于 2015/11/05 13:57
阅读 5K+
收藏 1
一、梆梆安全加固方案技术分析
样例分析环境:
APK包: 齐鲁银行
运行环境:安卓模拟器4.4.2
CPU平台:ARM平台,(X86暂不分析)
分析工具:JEB,APKIDE,IDA 6.6及HEX编辑工具等
1APK包文件特征
1.png 
图1 齐鲁银行apk文件结构
图1可见classes.dex文件极小。非应用真正的dex文件。

2.png 
图2 assets/文件目录
         梆梆把SO文件都放在assets中。图2中比较重要文件有:    4so文件以及一个jar文件 
2dex文件分析
3.png 
图3 dex结构
代码中能看到的so调用有2处:ACall中的libsecexe.so,以及ApplicationWrapper中的libDexHelper.so。
初步总结:根据apk包文件结构以及dex逆向中可见的调用关系,大约可推断出梆梆整体的保护策略:多层次,明暗集合。
3SO文件分析
开始详细分析梆梆的SO文件。
根据上面几个方面的观察,梆梆具有4个so文件。2个为显式调用,2个为隐式调用(调用代码隐藏在so中)。
1)四个so相互调用关系:
         本人的初步研究:首先,Dex中的ACall调用libsecexe.so ,其次,调用libsecmain.so, 再次,Dex中的ApplicationWrapper调用libDexHelper.so,最后, libsecperload.so这个so文件很奇怪,好像并没有被调用过。
2)四个so各自特征详细分析:
         * libsecexe.so
         文件大小81KB,破坏参数ELF中的section节表信息,采用加壳保护----变种UPX壳(无法使用工具直接脱壳),函数和变量名都加入混淆处理。

4.png 
图4 仅存在段表,upx加壳(elf文件)特有段表结构

6.png 
图6 功能性函数和变量名混淆

7.png 
图7  so入口函数变形,ida无法识别

8.png 
图8 JNI_OnLoad函数加密字节特殊处理
         综上所见:该SO文件反映了梆梆加固机制的大量技术信息。但其核心技术只是国外开源的UPX壳。在本文的最后会针对UPX壳逆向分析的情况进行一些细节说明。
         通过技术手段进行手工脱壳,并dumpso 在内存中的map并转存二进制文件。
Dump出的二进制文件,本身无法修复elf段表和节表(手工修复工作量大),所以在分析过程中,结合了runtime动态调试内存技术。

9.1.png 
图9-1   脱壳前的so在内存中段布局

9.2.png 
图9-2   脱壳后的so在内存中的段布局
         因为UPX为压缩壳,所以原加载入内存的elf各分段被动态解压到内存中,如LOAD段下方的debug002实为LOAD段解压还原后的代码及数据信息。其他各段类似。此处也可看出无法dump出完整elf的原因了。Upx解压时,并没有还原sectionsegment,实际也没这个必要。

10.png 
图10 相对图7这才是真正的so入口点.init_proc源码,即upx脱壳代码

11.png 
图11 相对图8这是解压还原后的JNI_OnLoad函数(深蓝色的函数名都是本人的分析标注)

12.png 
图12 JNI_OnLoad的一个sub函数
         至此libsecexe.so的启动代码部分大概流程解析出来。其中功能性函数与dex有关的很多。本人搜索了一些关键词。发现前面提到的一个bangcleclasses.jar这个jar包也在该so中处理。
总结:so的特点,加壳,名称混淆,但未混淆函数实现。获得dex修复功能,与classes.dexbangcleclasses.jar通讯交互调用了一些功能函数。
*libsecmain.so
第二个核心so文件。
根据对libsecexe.so的研究。Libsecmain属于隐式被调用者,调用者很可能就是classess.jar这个jar文件(本人猜测)。
文件大小157KB,破坏ELF中的section节表信息,采用加壳保护----变种UPX壳(无法使用工具直接脱壳),函数和变量名都加入混淆处理。
虽然本solibsecexe.so的保护方式几乎一样(采用同样技术的重复的图就不截了)。初步分析后,发现它仍然有一些自己的独特之处。
(1)      无JNI_load函数,说明该so 为纯被调用者。被java或其他so调用。自身不会去主动调用java相关代码,如:jar包,dex文件等。
(2)      新增混淆IDA解析能力,伪造了一批函数。比如:把入口函数.init_proc的代码放在另一个函数内部(对于elf文件来说关心的定位并不受影响,程序仍可以正确执行)。且此类保护技术在该so中很多。本人尚未进行更进一步的研究。

13.1.png 

13.2.png 

图13
         可见B6EAA000是真正的入口点,因为隐藏在另一个函数内,IDA无法按照单一独立函数进行解析(且母函数本身也不一定合法),导致解析能力明显偏弱很多东西无法正确解析,静态环境就需要手动修复(关键是要重置函数上下界)。只要能动态调试起来影响到是不太大。
(3)      观察该so中未混淆的函数
so_main(dlopen打开libdvm.so和libc.so ,通过dlsym获取多个进程操作函数fork,ptrace, wait, kill, mprotect, waitpid,双进程反调试功能就在该so中,getpid),该函数执行结束后,进程列表中将会有2个com.com.rytong.bankql.ql。
mykill,init,libc_pread64 等。处理过程中多次申请动态堆内存,其目的还需深入研究。
(4)      观察了一些混淆的函数
发现该so中有不少open 和fopen操作,可见有进行读写文件。
         综上所述:该so的功能大概有2方面:1. 开启多进程反调试保护,2.文件恢复(极可能是生成classes.dex文件,当然生成一个半成品的dex文件),因为时间问题暂时动态调试只进行到多进程保护部分就被卡住,后续准备细致研究后后把多进程防护功能关闭后,再继续往下调试,以便获得更多的信息。

*libDexHelper.so
文件大小458KB,很明显该so的核心功能就是修复dex文件。
libDexHelper.so启动前的内存系统和文件系统实时情况:

14.png 
图14 内存中进程情况,可见,1197为核心进程,1199为反调试子进程

15.png 
图15 执行文件夹内的多了一个720KB的classes.dex
         显而易见,经过classes.dex(24kb),  classes.des, libsecexe.so, bangcle_classes.jar,  classes.jar,以及libsecmain.so等几个模块的前期处理,生成了一个待修复模版型的classes.dex720kb)。经过测试,该classes.dex为非法不完整的dex文件。
到此classes.dex(24kb)中的ApplicationWrapper去加载libDexHelper.so进行运行时修复classes.dex720kb)。
so的特点:
1>    未加壳
2>    未破坏elf文件segment和section表
3>    入口点为start函数(未加密,存放在自定义代码段seg011中,大量code也在该段中)

*libsecpreload.so
文件大小14KB,极小型。
so的特点:
1>    内部仅1个函数:strlen, 感觉函数名与函数功能无关
2>    无JNI_onLoad函数
3>    未加壳
4>    未混淆

17.png 
17.2.png 

图17 strlen函数代码
    Strlen函数一共就这几行代码。函数功能也极其简单,从系统环境变量LD_PRELOAD_SECSO中获取某个so库名并dlopen打开,在用dlsym获取so库中函数名为”p88c9ad42163050e20f808e0fdeb7988"的函数指针,再从系统环境变量LD_PRELOAD_ARGS中获取函数相关参数信息,最终调用"p88c9ad42163050e20f808e0fdeb7988"函数。
         至此上面就是,梆梆加固保护机制分析结果。
二、梆梆安全加固破解
         使用自主开发的脱壳工具对梆梆加固的某银行级别的应用进行脱壳。首先在手机上安装该银行apk,然后运行apk。使用动态脱壳工具指令进行脱壳。
会在/data/下面生成脱壳之后的smali文件,截取部分内容如下:

18.png 
18.2.png 
18.3.png 
18.4.png 
18.5.png 


经过我们解密处理之后,就会生成完整的smali代码;在经过一定的处理之后,我们可以直接看到java代码,证明经该厂商加固后的应用被完全破解。

总的来说,梆梆安全加固的安全加固方案还是基于国外的一些开源项目,保护效果有限且所有被保护的应用均能通过同样的方式轻易破解,对应用的兼容性性能也有明显的不良影响。

加载中
返回顶部
顶部