首页 > 代码库 > 阿里2014移动安全挑战赛第二题调试笔记

阿里2014移动安全挑战赛第二题调试笔记

 

0x00前言

  最近在学习安卓安全,看到52破解上面有分析2014年阿里安全挑战赛的第二个crackme的文章。勾起了我的回忆,那是我第一次参加安全比赛,在安卓安全也没有做多深入的学习。第一题比较简单,直接在logcat里面就可以看到输出的信息,只要将数字和文字的关系对应关系搞明白就可以解出来。第二题我就遇到困难了,虽然临时学会了怎么用ida调试so,但只要ida附加到进程上去,程序就退出了,屡试不爽。心里也有往反调试那边想,但是功力不足没有能把反调试干掉,最后止步于这一题。现在又看到基于这道题的调试技巧文章,所以就拿起来练练手,练习练习动态调试。

 

0x01静态分析

应用程序打开的主界面是

技术分享

把程序拖到jeb中,可以看到主程序的代码比较简单,就是取得输入的信息,然后调用native的securityCheck方法做比较,根据返回的结果展示不同的内容。没有提供有用的信息。

技术分享

解压程序,将libcrackme.so拖到ida中,找到Java_com_yaotong_crackme_MainActivity_securityCheck函数直接f5,代码没有做混淆,条理也非常清晰,对比v6和v5的值。

技术分享

其中v5是用户的输入,看起来比较别扭,参考蒸米《安卓动态调试七种武器之孔雀翎 – Ida Pro》的内容:一个指针加上一个数字,比如v3+676。然后将这个地址作为一个方法指针进行方法调用,并且第一个参数就是指针自己,比如(v3+676)(v3…)。这实际上就是我们在JNI里经常用到的JNIEnv方法。因为Ida并不会自动的对这些方法进行识别,所以当我们对so文件进行调试的时候经常会见到却搞不清楚这个函数究竟在干什么,因为这个函数实在是太抽象了。解决方法非常简单,只需要对JNIEnv指针做一个类型转换即可。比如说上面提到v3指针,我们选中后按一下”y”键,然后将类型声明为”JNIEnv*”。

技术分享

可以看到off_628C的内容为

技术分享

技术分享

看到字符串为wojiushidaan,将该字符串输入,并没有通过校验,可见程序在运行的时候对比较的字符串做了修改,这就要求我们动态去调试这个程序了。

 

0x02动态调试

到ida安装目录.\IDA 6.8\dbgsrv\下面将android_server拷贝到安卓设备中

adb push android_server /data/local/tmp/

修改文件的权限

adb shell chmod 755 /data/local/tmp/android_server

以9000作为调试端口启动,修改默认端口是因为有些反调试会读取/proc/net/tcp下的信息,默认端口容易躺枪

adb shell /data/local/tmp/android_server -p9000

另开一个窗口,在这个窗口里面做端口转发

adb forward tcp:900 tcp:9000

修改Debugger-Run-RemoteArmLinux/Android debugger中的配置去调试,点击ok

技术分享

就可以看到所有运行的程序,基本我们启动的需要调试的应用的pid号都比较大,可以按pid排序方便找到调试的程序。

技术分享

载入的过程较长,其中库的载入有弹框确认,直接略过,在modules框中找到函数,在函数头下断点

技术分享

技术分享

F9运行,程序直接退出,ida输出如下

技术分享

几次尝试都是这个结果,所以肯定有反调试。

 

0x03反调试

我们用以下命令以调试模式启动一个应用

adb shell am start -D -n com.yaotong.crackme/.MainActivity

其中主activity可以在logcat里面看到,或者反编译manifest文件也可以看到

技术分享

程序启动停在等待调试器的状态

技术分享

修改Debugger-debugger options的配置,让程序在载入lib的时候断下来,这样我们才可以调试JNI_Onload函数,还有某些可能会把反调试放在.init_array,该函数的加载比JNI_Onload还要早。

技术分享

然后再附加进程,然后f9运行程序,可以看到程序还是停在等待调试器的状态

jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

让程序恢复运行,这时程序会在linker停下来,在JNI_Oload函数上下断点,然后f9运行程序,f8逐条运行,运行到这条函数的时候就会退出,f7跟进去调试

技术分享

技术分享

是一个创建线程的库函数,如果在反汇编代码中可以看到具体的地址指令是 BLX R7,R7的值就是pthread_create函数的地址,如果是做比赛可以直接nop  BLX R7,然后去试试有没有过掉反调试。

技术分享

点击dword_9BC882B4函数也可以看到函数已经被定位到了pthread_create

技术分享

而在静态中只有符号信息,没有做相应的映射

技术分享

所以可以知道unk_9BC836A4就是该线程创建完成之后执行的函数,在该函数下断点,f9执行,断在了该函数

技术分享

F5之后比原来的汇编代码还别扭

技术分享

可以看到有一个明显的循环体,其中主要的函数调用是BL unk_9BC8330C,可以直接nop这个函数调用,然后去试试反调试是不是已经过掉了,不过现在不是做比赛,我想继续跟进去看看他是怎么做的。

技术分享

不过里面的代码确实是难看懂,反正是调试,不如就动态跟着一步一步调一下,发现里面读取了/proc/pid/status的tracepid字段,然后做了字符串的比较,最后执行到了

技术分享

可以看到R2寄存器指向了libc.so下的kill函数,这就是反调试的最后一步,当发现被调试时杀死进程,来实现自毁的目的,在流程图里面也可以看到这个一个单独的分支,之后就没有代码了。

技术分享

所以我们把BGE loc_9BC59600这个函数nop掉,让这个分支的代码不执行。libcrackme.so加载的基地址为0x9BC58000,修改原文件的地址为0x9BC595D80-x9BC58000=0x15D8

技术分享

然后重打包运行,ida附加上去没有退出,说明我们的反反调试成功了,在securityCheck函数上下断点,然后f8单步调试

技术分享

此时R2指向了保存的密码

技术分享

输入aiyou,bucuoo,答案正确

 

0x04其他思路

思路一:

在我们输入密码进行比较的时候,logcat有输出信息

技术分享

所以我们可以使用这条打印信息来把密码打印出来

这是原来的代码布局

技术分享

选择的patch方法是直接把这个log函数往下移,因为在0x12A4地址处正好有我们需要的打印的数据地址赋值给了R2寄存器,因此将代码段从0x1284到0x129C的地方都用NOP改写,在0x12AC的地方调用log函数,同时为了不影响R1的值,把0x12A0处的R1改成R3: 9BC7F1A8,同时由之前的动态调试我们也确认了此时R2指向的是密码,所以具体的patch方案如下:

  ①0x1284-0x129c:NOP (0000A0E1)

  ②0x12A8:MOV R0,#4 (0400A0E3)

  ③0x12AC:BL  __android_log_print (88FFFFEB)这里的88是由一开始在0x1284的92FFFFEB得出的,两个地址相差40个字节,ARM指令4字节对齐,即最低两位是00,所以地址右移两位,应除以4,对应就为:0x92-10=0x88。

  ④0x12A40-0x12A84:NOP (0000A0E1)

patch之后的代码布局

技术分享

重新打包运行,随便输入密码,打印出来的log如下

技术分享

思路二:

静态时密码的偏移量是0x4450

技术分享

所以我们attach上进程后不运行,直接在libcrackme.so的基地址加上0x4450得到的地址为

0x9BC30000+0x4450=0x9BC34450

技术分享

G直接跳转到那个位置,然后就看到了答案,请允许我做一个悲伤的表情,为什么当初没有想到。

技术分享

 

0x05小结

  除了读取/proc/pid/status下面的tracepid方法外,现在反调试还采用了读取/proc/net/tcp下面的tcp信息,对常见的调试器的调试端口进行检测。还有函数的运行时间,读取进入函数和出来函数的系统时间,然后做差和预定值作比较,来判定是否处于调试状态。
  现在的反调试还是在大粒度上面做的,采用nop线程开启和nop整个函数调用都可以过掉整个反调试,是不是可以采用线程之间互相配合的方式,主线程依赖于子线程的运行,如果子线程不运行,那么主线程也退出,细化一点就是把反调试函数和正常功能函数混合到一起,比如采用生产者消费者模型来建立主从线程的关系,这样过掉反函数的难度就更大一些了。

 

参考:

http://www.cnblogs.com/Reyzal/p/4857948.html

http://www.52pojie.cn/thread-559205-1-1.html

http://www.wjdiankong.cn/android%E9%80%86%E5%90%91%E4%B9%8B%E6%97%85-%E5%8A%A8%E6%80%81%E6%96%B9%E5%BC%8F%E7%A0%B4%E8%A7%A3apk%E8%BF%9B%E9%98%B6%E7%AF%87ida%E8%B0%83%E8%AF%95so%E6%BA%90%E7%A0%81/

http://wooyun.jozxing.cc/static/drops/mobile-5942.html

http://drops.wooyun.org/tips/6840

阿里2014移动安全挑战赛第二题调试笔记