亚洲乱码一卡二卡四卡乱码新区_亚洲乱码中文字幕小综合_亚洲人成电影在线播放_亚洲性色AV一区二区三区_亚洲一区二区三区影院_亚洲中文字幕久久精品无码A_亚洲中文字幕无码专区_伊人热热久久原色播放WWW_在线观看AV永久免费_最新欧洲大片免费在线,欧美日韩成人三级免费看,久久黄色网址,欧美激情内射喷水高潮

0x8.so逆向深化及IDA靜態(tài)分析-3

so逆向深化及IDA靜態(tài)分析-3 : IDA靜態(tài)分析之so逆向進階實戰(zhàn)


本文介紹一個CackMe的分析過程,不再是單純的分析邏輯,,還包括還原算法,。


本文樣本鏈接:https://pan.baidu.com/s/1lKNATw_PLhYQyUT-BBbUrw  提取碼:xmu1 
<該樣本為個人編寫,如果引用請?zhí)崆案嬷?,謝謝>

0x1.java層分析
我們首先打開樣本,,了解一下情況,方便確認突破口,。
     

左側圖為打開后的界面,,右側為輸入任意密碼并提交后的界面,此時我們可以定位首個關鍵字 “密碼錯誤”,。
接下來我們將樣本拖拽到AndroidKiller之中逆向,,然后文本轉Unicode,搜索該關鍵字: 


搜索到關鍵字后,,我們可以借助其java源碼協助分析,,也可以直接分析smali。下面以java源碼為例:
在Android Killer中點擊java源碼對應的圖標,,打開jd-GUI查看該樣本的java源碼,。


根據上圖步驟一步步定位到了關鍵函數setCode,我們進一步追蹤,。


最終定位到native函數setCode,,并確定其所在的so文件為“l(fā)ibJniSoDemo.so”。

0x2.so層分析
定位到so文件的native函數后,,我們開始分析so文件(以此路徑為例>SoDemo_killer>Project>lib>armeabi-v7a),,
將其拖入IDA后,在Exports一欄找到setCode函數


雙擊查看函數中的ARM指令如下:


接下來我們看下這段ARM指令(具體指令可查詢之前共享的指令集或者百度):
.text:00000EA4                 EXPORT Java_com_kanxue_sodemo_jnisodemo_setCode
.text:00000EA4 Java_com_kanxue_sodemo_jnisodemo_setCode
.text:00000EA4                                         ; DATA XREF: LOAD:000001BC↑o
.text:00000EA4 ; __unwind {
.text:00000EA4                 MOVS            R0, #0                                         // R0=0
.text:00000EA6                 CMP             R3, #3                                         // 比較R3與3
.text:00000EA8                 BNE             locret_EEA                                         // 如果R3≠3,,跳轉到locret_EEA
.text:00000EAA                 SUB.W           R1, R2, #0x1F4                                         // R1=R2-500
.text:00000EAE                 CMP             R1, #0x63 ; 'c'                                         // 比較R1和99
.text:00000EB0                 BHI             locret_EEA                                         // 如果R1大于99,,跳轉到locret_EEA
.text:00000EB2                 MOV             R0, #0x66666667                                         // R0=0x66666667
.text:00000EBA                 SMMUL.W         R0, R1, R0                                         // R0=R1*R0
.text:00000EBE                 MOV             R1, #0x51EB851F                                         // R1=0x51EB851F
.text:00000EC6                 SMMUL.W         R1, R2, R1                                         // R1=R2*R1
.text:00000ECA                 ASRS            R3, R0, #2                                         // R3=(R0>>2)
.text:00000ECC                 ADD.W           R12, R3, R0,LSR#31                                         // R12=R3+(R0>>31)
.text:00000ED0                 ASRS            R0, R1, #5                                         // R0=(R1>>5)
.text:00000ED2                 ADD.W           R1, R0, R1,LSR#31                                         // R1=R0+(R1>>31)
.text:00000ED6                 SUBS            R3, R1, #3                                         // R3=R1-3
.text:00000ED8                 MOVS            R0, #0                                         // R0=0
.text:00000EDA                 CMP             R12, R3                                         // 比較R12和R3
.text:00000EDC                 IT NE                                         // IT(If-Then) NE(Not-Equal) 如果不相等則執(zhí)行下一句
.text:00000EDE                 BXNE            LR                                         // 承接上一句的條件,函數返回
.text:00000EE0                 SUBW            R2, R2, #0x203                                         // R2=R2-515
.text:00000EE4                 CMP             R2, R1                                         // 比較R2和R1
.text:00000EE6                 IT EQ                                         // 如果相等則執(zhí)行下一句
.text:00000EE8                 MOVEQ           R0, #1                                         // 承接上一句的條件,,R0=1
.text:00000EEA
.text:00000EEA locret_EEA                              ; CODE XREF: Java_com_kanxue_sodemo_jnisodemo_setCode+4↑j
.text:00000EEA                                         ; Java_com_kanxue_sodemo_jnisodemo_setCode+C↑j
.text:00000EEA                 BX              LR                                         // 函數返回
.text:00000EEA ; End of function Java_com_kanxue_sodemo_jnisodemo_setCode
可參考偽代碼插件,,按下F5,看到C代碼如下:


在函數中,,我們只看到了a3和a4,,顯然a3和a4是我們傳入給setCode的兩個參數,。
參考jd-GUI中的java源碼,我們可以得知兩個參數是什么,。


在setCode中,首先判斷了位數是否為3,,即 a4 == 3
然后判斷了第一位是否為5,,即 (a3-500)≤ 99
不同時滿足以上兩個,則返回0,,即 密碼有三位,,且第一位是5。
后面 if ( (a3 - 500) / 10 == a3 / 100 - 3 && a3 - 515 == a3 / 100 )
則是判斷第二位是2,,第三位是0,,得出密碼為520。

以上是算法分析,,如果是單純邏輯分析的話,,可以修改邏輯一直返回1,或者修改判斷條件,,本文重點是算法分析,,此處不再贅述。

0x3.算法還原
在算出520的時候,,我們已經對算法進行了還原,。主要是幾個固定條件:
① 密碼長度 a4 = 3 ;
② (a3 - 500) ≤ 99 ,;
③ (a3 - 500) / 10 = a3 / 100 - 3 ;
④  a3 - 515 = a3 / 100 ,。

以上算法比較簡單就不需要單獨寫程序來算出密碼了,對于比較復雜的運算我們需要編寫程序算出密碼,,也就是所謂的注冊機,。

0x4.總結
在靜態(tài)分析中,我們通常從java層入手,,順著邏輯追蹤到so層,,再對so層進行分析,結合java層的函數找出我們需要的算法,,
必要的時候根據密碼驗證算法進行逆運算,,導出密碼。

?