hook init_array中函数解密ollvm加密字符串

  • A+
所属分类:逆向工程

hook init_array中函数解密ollvm加密字符串

本文为看雪论优秀文章

看雪论坛作者ID:别致疯子



hook init_array中函数解密ollvm加密字符串

前 言

hook init_array中函数解密ollvm加密字符串

这是2W班8月份的练习题。题目要求是:

ollvm针对加密字符串的解密都是在位于init_array节当中的函数。请编写Xposed插件,完成对测试apk中位于init_array节中的函数的hook,并获取对应的解密后的字符串。

 
思路:刚刚开始只是为了解题怎么方便怎么来,app是32位的,所以在android 6下使用这个支持32位的hook库,https://github.com/ele7enxxh/Android-Inline-Hook,在加载Xposed的时候动态载入libnative-lib.so,然后对init_array中的函数进行hook,在进行主动调用,打印关键字符串。
 

hook init_array中函数解密ollvm加密字符串

解 体 过 程

hook init_array中函数解密ollvm加密字符串

1. IDA载入libnative-lib.so,简单看了下:

hook init_array中函数解密ollvm加密字符串
hook init_array中函数解密ollvm加密字符串

有静态注册的shell函数,猜想是这个方法sub_87c4里的一个比较,点击进入看看,byte_1B008= v2从一个地址1b008取值跟a1来比较,字符长度为5,重命名mystr。

 
2. 点击看看byte_1b008,【0x9F, 0x94, 0x99, 0x9F, 0x97, 0xFC, 0, 0】,交叉引用看下,发现解密在datadiv_decode9080531325931451386这个里面, byte_1B008[v11++] ^= 0xFCu; 这样一个异或,计算一下看看,其实已经看到check了。

hook init_array中函数解密ollvm加密字符串

 
3. 继续分析,去.init_array,有2个函数,一个解密的.datadiv_decode,一个里面有对byte_1b008进行参数传值的方法。

hook init_array中函数解密ollvm加密字符串

 
4. 这步解密字符串在调用sub_85e4,是不是hook它打印第一个参数就能得到我们要的结果。
unsigned long base = NULL;Dl_info dlinfo;__attribute__ ((visibility ("hidden"))) void hookMyGetstr() {     void *handle = dlopen_compat("libnative-lib.so", RTLD_NOW);    if (handle != nullptr) {        __android_log_print(4, "test02", "libnative-lib.so handle is not nullptr");        void *temp = dlsym_compat(handle, "Java_com_kanxue_hookinit_1array_MainActivity_Shell");        int rc=dladdr(temp,&dlinfo);        if(dlinfo.dli_fbase!= nullptr){            base= reinterpret_cast<unsigned long>(dlinfo.dli_fbase);        }     }      //unsigned long mtem=findBaseOff("libnative-lib.so");    if(base>0L){        //unsigned long func_addr=base + 0x85E4 + 1;        unsigned long func_addr=base + 0x85E4 + 1;        if (ELE7EN_OK == registerInlineHook((uint32_t) func_addr, (uint32_t) mygetstr,                                            (uint32_t **) &getstr)) {            if (ELE7EN_OK == inlineHook((uint32_t) func_addr)) {                __android_log_print(4, "XposedFART", "inlineHook getstr success");            } else {                __android_log_print(4, "XposedFART", "inlineHook getstr failure");            }        }    }else{        LOGD("NOT FOUND THE BASE .SO");    }}

使用dlsym_compat的时候不确定能不能找到需要hook的函数地址,所以我先dlsym_compat有导出函数名的Java_com_kanxue_hookinit_1array_MainActivity_Shell得到基址手动计算函数偏移,thumb模式,所以需要+1。
void *(*getstr)(void*, void*, void*)= nullptr;void *mygetstr(void* str, void*size, void*c){     char* tempStr=(char*)str;    __android_log_print(4, "XposedFART", "getOriArgsStr:%s",tempStr);    void *result = getstr(str, size, c);    __android_log_print(4, "XposedFART", "getResultStr:%s",(char *)result);    return result;}  void zhudongmyGetstry(){    typedef void *(*xxtest)();    if(base>0L){        //随便对一个有执行了hook方法的调用        xxtest xxtestfucnc= reinterpret_cast<xxtest>(base+0x876C+1);        xxtestfucnc();        __android_log_print(4, "XposedFART", "call xxtestfucnc");    }}  extern "C" void _init(void) {    __android_log_print(4, "XposedFART", "go into _init");    hookMyGetstr();    zhudongmyGetstry();}

5. 到处hook模块差不多了,传到手机,Xposed加载验证。
 
hook init_array中函数解密ollvm加密字符串

打印出来了~
 
整个过程还是比较简单的,小菜鸟一枚有什么错误的地方,欢迎指出,特别感谢r0ysue,寒冰老师~~~


hook init_array中函数解密ollvm加密字符串

- End -


hook init_array中函数解密ollvm加密字符串


别致疯子

https://bbs.pediy.com/user-home-491302.htm

 

 *本文由看雪论坛 别致疯子 原创,转载请注明来自看雪社区。



 安卓应用层抓包通杀脚本发布!

《高研班》2021年3月班开始招生!👇


hook init_array中函数解密ollvm加密字符串

* 戳图片了解详情




# 往期推荐






hook init_array中函数解密ollvm加密字符串
公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]



hook init_array中函数解密ollvm加密字符串

球分享

hook init_array中函数解密ollvm加密字符串

球点赞

hook init_array中函数解密ollvm加密字符串

球在看



hook init_array中函数解密ollvm加密字符串

点击“阅读原文”,了解更多!

本文始发于微信公众号(看雪学院):hook init_array中函数解密ollvm加密字符串

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: