hook init_array中函数解密ollvm加密字符串

admin

140416
文章

117
评论

2020年12月22日17:58:50评论290 views字数 2759阅读9分11秒阅读模式

hook init_array中函数解密ollvm加密字符串

本文为看雪论优秀文章

看雪论坛作者ID：别致疯子

前言

这是2W班8月份的练习题。题目要求是：

ollvm针对加密字符串的解密都是在位于init_array节当中的函数。请编写Xposed插件，完成对测试apk中位于init_array节中的函数的hook，并获取对应的解密后的字符串。

思路：刚刚开始只是为了解题怎么方便怎么来，app是32位的，所以在android 6下使用这个支持32位的hook库，https://github.com/ele7enxxh/Android-Inline-Hook，在加载Xposed的时候动态载入libnative-lib.so，然后对init_array中的函数进行hook，在进行主动调用，打印关键字符串。

解体过程

1. IDA载入libnative-lib.so，简单看了下：

hook init_array中函数解密ollvm加密字符串

有静态注册的shell函数，猜想是这个方法sub_87c4里的一个比较，点击进入看看，byte_1B008= v2从一个地址1b008取值跟a1来比较，字符长度为5，重命名mystr。

2. 点击看看byte_1b008,【0x9F, 0x94, 0x99, 0x9F, 0x97, 0xFC, 0, 0】，交叉引用看下，发现解密在datadiv_decode9080531325931451386这个里面， byte_1B008[v11++] ^= 0xFCu; 这样一个异或，计算一下看看，其实已经看到check了。

hook init_array中函数解密ollvm加密字符串

3. 继续分析，去.init_array，有2个函数，一个解密的.datadiv_decode，一个里面有对byte_1b008进行参数传值的方法。

hook init_array中函数解密ollvm加密字符串

4. 这步解密字符串在调用sub_85e4，是不是hook它打印第一个参数就能得到我们要的结果。

unsigned long base = NULL;Dl_info dlinfo;__attribute__ ((visibility ("hidden"))) void hookMyGetstr() {     void *handle = dlopen_compat("libnative-lib.so", RTLD_NOW);    if (handle != nullptr) {        __android_log_print(4, "test02", "libnative-lib.so handle is not nullptr");        void *temp = dlsym_compat(handle, "Java_com_kanxue_hookinit_1array_MainActivity_Shell");        int rc=dladdr(temp,&dlinfo);        if(dlinfo.dli_fbase!= nullptr){            base= reinterpret_cast<unsigned long>(dlinfo.dli_fbase);        }     }      //unsigned long mtem=findBaseOff("libnative-lib.so");    if(base>0L){        //unsigned long func_addr=base + 0x85E4 + 1;        unsigned long func_addr=base + 0x85E4 + 1;        if (ELE7EN_OK == registerInlineHook((uint32_t) func_addr, (uint32_t) mygetstr,                                            (uint32_t **) &getstr)) {            if (ELE7EN_OK == inlineHook((uint32_t) func_addr)) {                __android_log_print(4, "XposedFART", "inlineHook getstr success");            } else {                __android_log_print(4, "XposedFART", "inlineHook getstr failure");            }        }    }else{        LOGD("NOT FOUND THE BASE .SO");    }}

使用dlsym_compat的时候不确定能不能找到需要hook的函数地址，所以我先dlsym_compat有导出函数名的Java_com_kanxue_hookinit_1array_MainActivity_Shell得到基址手动计算函数偏移，thumb模式，所以需要+1。

void *(*getstr)(void*, void*, void*)= nullptr;void *mygetstr(void* str, void*size, void*c){     char* tempStr=(char*)str;    __android_log_print(4, "XposedFART", "getOriArgsStr:%s",tempStr);    void *result = getstr(str, size, c);    __android_log_print(4, "XposedFART", "getResultStr:%s",(char *)result);    return result;}  void zhudongmyGetstry(){    typedef void *(*xxtest)();    if(base>0L){        //随便对一个有执行了hook方法的调用        xxtest xxtestfucnc= reinterpret_cast<xxtest>(base+0x876C+1);        xxtestfucnc();        __android_log_print(4, "XposedFART", "call xxtestfucnc");    }}  extern "C" void _init(void) {    __android_log_print(4, "XposedFART", "go into _init");    hookMyGetstr();    zhudongmyGetstry();}

5. 到处hook模块差不多了，传到手机，Xposed加载验证。

打印出来了～

整个过程还是比较简单的，小菜鸟一枚有什么错误的地方，欢迎指出，特别感谢r0ysue，寒冰老师~~~

hook init_array中函数解密ollvm加密字符串

- End -

hook init_array中函数解密ollvm加密字符串

别致疯子

https://bbs.pediy.com/user-home-491302.htm

*本文由看雪论坛别致疯子原创，转载请注明来自看雪社区。

安卓应用层抓包通杀脚本发布！

《高研班》2021年3月班开始招生！👇

* 戳图片了解详情

# 往期推荐

公众号ID：ikanxue

官方微博：看雪安全

商务合作：[email protected]

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

本文始发于微信公众号（看雪学院）：hook init_array中函数解密ollvm加密字符串

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

hook init_array中函数解密ollvm加密字符串

安卓应用层抓包通杀脚本发布！

《高研班》2021年3月班开始招生！👇

智能汽车安全-漏洞挖掘到控车攻击

栈溢出从复现到挖掘-CVE-2018-16333漏洞复现详解

2025御网杯线上初赛WriteUp （Misc、Crypto）

文化局小程序的一次越权测试

通过CE固定小程序动态密钥后自动化加解密|挖洞技巧

功能安全的关键——MCU锁步核技术全解析（含真实应用方案）

快速扫盲CAN总线基础知识

非标准OLLVM-fla反混淆分析还原

密码学浅入浅出ECIES之椭圆曲线加密算法

微信小程序任意用户登录

发表评论

在线咨询

微信