app安全之安卓native层安全分析(一):frida 与unidbg

原创 已于 2024-12-04 12:02:46 修改 · 2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #安全 #java

于 2023-04-18 18:31:35 首次发布
本文详细介绍了如何从抓包开始,通过分析APP的dex文件,利用jadx和frida定位到加密参数的计算逻辑。在遇到动态注册的so方法时,借助ida和yang神的hook脚本找到函数地址。最后,通过unidbg搭建模拟环境,调用目标方法生成加密参数,展示了unidbg在黑盒调用和动态分析中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

这个专题是根据白龙,龙哥的unidbg博客的案例,进行从0开始到安全分析的流程,核心部分会借鉴龙哥的unidbg,通过借鉴大佬的思路,完整的分析某个so层的加密参数

各位朋友也可以直接读龙哥的博客,我只是用我的角度进一步加工一下

原文地址:SO入门实战教程一:OASIS_so学习路线_白龙~的博客-优快云博客

分析

首先拿到这个app,安装啥的就不多说了。

进入到注册界面:

点击获取验证码,然后这边抓包工具抓到的包:

然后,这里面的【sign】就是今天的重点了。

用神秘的工具脱壳完之后,有如下的dex:

把这些dex,全部选中,拖进jadx 

快速定位

接下来开始找sign所在的位置,先看看抓包工具这边的参数,根据这些键名,一顿搜,总能找到一些

先搜下【sign】,虽然搜出来的结果不多,但是感觉有很多干扰项

 进最后那个,到这里,

这些参数看着很像,用frida hook,得知,发现并没有走到这里

搜【ua】

进到这里,发现很可疑,好多参数都对上了

啥都不说,先用objection hook下,然后app端点击【重新发送】看看:

可以,这不直接就定位逻辑了

但是我们要找【sign】,所以还得再看看,jadx查看发现,这个方法反编译效果不太好,问题不大,记住这个dex名,然后用GDA 打开这个dex,这就挺好,基本都反编译出来了

反正看着确实可疑,但是这三个方法,还不确定到底是是哪个方法里有【sign】部分,所以这里直接hook 它这个a,b,c三个方法,然后app点下重新获取

ok,发现最后的方法里基于有我们要的sign,这边再来下,用抓包工具对比下,谨慎一点,别搞半天没搞对位置:

重新hook下,然后抓包工具打开看看

对上了,ok,就是这里了【g.a.c.g.c.a】

在jadx里,反编译失败:

问题不大,用GDA看:

这不就越来越接近了吗,嘻嘻,点进去:

hook下这个c方法看看,ok,对上了

 接着一顿分析后再进入这里

 ok,进到了native层,那么核心的逻辑就在这里了。

像这种,常规的方法怎么解决呢?

  • 如果你是为了拿数据,赶工期的话,那你可以直接主动调用这个方法
  • 如果你是为了纯算还原的话,那就把这个so文件拖进ida一顿分析了
  • 那么假如,这个方法的纯算很复杂,而你又不想主动调用,感觉很low的话,那你就可以尝试用unidbg了

unidbg,就是本系列文章的重点了。

unidbg简介

什么是unidbg

unidbg 是一个基于 unicorn 的安全分析工具,可以实现黑盒调用安卓和 iOS 中的 so 文件

unidbg是凯神写的一个开源的java项目

使用场景

因为现在的大多数 app 把核心的加密算法放到了 so 文件中(比如本例的app),你要想破解签名算法,必须能够破解 so 文件。但C++ 的安全分析远比 Java 的安全分析要难得多,有各种混淆啊,ollvm啥的,所以好多时候是没法纯算还原破解的

那么你是否有过一个想法,能不能把安卓的环境模拟出来,但是又脱离了安卓真机的环境,就可以直接使用so里的方法呢?

unidbg 就是这样一个工具,它模拟好了好几种虚拟环境,他不需要直接运行 app,也无需安全分析so 文件,而是直接找到对应的 JNI 接口,然后用 unicorn 引擎(也不止这一个引擎)直接执行这个 so 文件,所以效率也比较高。

配置unidbg

1.首先,用git 把这个项目clone 下来:

最低0.47元/天 解锁文章

200万优质内容无限畅学
app安全安卓native安全分析(三):ida使用+unidbg补环境
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-25 2894
SO逆向入门实战教程三:V2-Sign_unidbg context_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以个初学者的角度,加上自己的理解,把内容丰富下,尽量做到不在龙哥的基础上画蛇添足,哈哈。1.看so的调用逻辑,如果有loadlibrary的同时有调用某个方法,unidbg模拟执行的时候也要先调用这个方法2.如果加载so文件的时候,给定的第二个参数是false,加上so文件有字符串加密和混淆的话就会乱码,所以这里最好给为true,ida里,shift+F7,可以看。
APP逆向 day24unidbg
最新发布
m0_66360096的博客
02-24 1768
unidbgJava开源项目,可以帮助我们去模拟安卓或IOS设备,用于去执行so文件中的算法,从而不需要再去逆向他内部的算法它是个基于 unicorn 的逆向工具,可以直接调用Android和iOS中的 so 文件允许您模拟 Android native library 和 实验性的 iOS 模拟而在什么时候使用unidbg呢?
Android基础进阶 - 消息机制 之Native分析,Android面试回忆录
m0_64383184的博客
12-09 948
synchronized (this) { msg.markInUse(); msg.when = when; Message p = mMessages; boolean needWake; //如果消息链表为空,或者插入的Message比消息链表第个消息要执行的更早,直接插入到头部 if (p == null || when == 0 || when < p.when)Android学习笔记总结+最新移动架构视频+大厂安卓面试真题+项目实战源码讲义》 【docs.qq.com/doc/DS
安卓
s546725246的专栏
02-04 1129
Android的分4java应用程序,java框架,本地框架和java运行环境,Linux内核空间 Native就是本地框架。Java应用程序无需过多解释,基本可以理解为各个App,由Java语言实现。 Java框架就是常说的Framework,这里东西很多也很复杂,比如说主要的些系统服务如ActivityManagerService、PackageManagerService等,
Android源码探究:Android Native消息机制完全解析
蓝天白云梦的csdn博客
05-20 2627
#前言 前文详细分析了Java的消息循环机制的工作原理,在分析MessageQueue的过程中,我们遇到了nativePollOnce()nativeWake()方法的调用,下面我们就深入到Native的消息机制来看看它背后的运作原理。 #Native的消息机制 NativeMessageQueue的相关逻辑 1、NativeMessageQueue的构建 首先,我们来看看Java...
Android基础进阶 - 消息机制 之Native分析,kotlin开源
m0_64604042的博客
12-18 1778
value = sStrThreadlocal.get(); intValue = sIntegerThreadLocal.get(); System.out.println(“444 curThreadId=”+Thread.currentThread()+" strthreadLocalValue="+value +" intThreadLocalValue="+intValue); //用完之后记得remove,虽然,ThreadLocalMap.Entry的key是ThreadLocal的弱引用,但
unidbgfrida、xpose:用于系统性能分析和调优,帮助我们发现和解决系统性能瓶颈,提升系统的稳定性和性能。
百态老人的博客
04-14 598
以上是使用unidbgFrida和Xposed进行系统性能分析和调优的基本流程和例子。在实际应用中,可能还会涉及到更多的细节和技巧,具体操作还需根据具体场景和需求进行调整和优化。unidbgfrida和Xposed都是针对Android系统的工具,用于系统性能分析和调优,以及进行系统级别的修改和hook操作。
app安全安卓native安全分析(五):unidbg黑盒调用
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-26 993
SO逆向入门实战教程五:qxs_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以个初学者的角度,加上自己的理解,把内容丰富下,尽量做到不在龙哥的基础上画蛇添足,哈哈。本篇和上篇感觉的挺简单的,所以没有啥总结的。
app安全安卓native安全分析(八):unidbg补前置环境+IO重定向
app安全逆向、移动开发、tls/ja3、爬虫、反爬
05-17 3748
SO逆向入门实战教程七:main_unidbg 重定向_白龙~的博客-优快云博客还是那句,我会借鉴龙哥的文章,以个初学者的角度,加上自己的理解,把内容丰富下,尽量做到不在龙哥的基础上画蛇添足。1.找不到该native方法引入的哪个so文件时,用hook_RegisterNative脚本分析2.执行结果发现不对返回空指针时,很大可能是逻辑问题,需要结合jnitrace分析3.报dirfd=-100,就是读取文件错误,需要指导程序到正确的路径4.补文件读取有两个方法。
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 5836
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM去混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
Android Native使用opengl es渲染yuv420
12-26
Android Native使用opengl es渲染yuv420,通过egl绑定android的surface,直接在native进行渲染 具体使用见http://blog.csdn.net/lidec/article/details/73732369#comments
安卓逆向】unidbg案例-某库存 sig sign分析
菜鸡小白的成长记录
01-01 1224
新年的第篇文章,新的年继续加油,奥利给!冲冲冲。今天分析的app是爱库存,版本号6.1.6,这次还是使用unidbg分析该样本,加密参数有很多,不过只关注sig和sign两个参数。老规矩,上来先抓个包。
深入学习Android framework(2)——Handler Native
一个码农的博客
06-30 4605
基于android28源码,MessageQueue类里面涉及到多个native方法,除了MessageQueue的native方法,native本身也有套完整的消息机制,用于处理native的消息,如下图Native的消息机制。 Java可以向MessageQueue消息队列中添加消息,Native也可以向MessageQueue消息队列中添加消息 MessageQueue 初始化过程的调用链如下: 在MessageQueue中的native方法如下: private native st
Android 框架实现分析 - 应用 - Native
luansxx的专栏
10-28 317
libandroidfw 源代码位于:frameworks/base/lib/androidfw。 类名 说明 Asset AssetDir AssetManager BackupDataWriter BackupDataReader ...
Android Native异步消息处理框架
weixin_30706507的博客
09-12 221
*本文系作者工作学习总结,尚有不完善及理解不恰当之处,欢迎批评指正* 、前言   在NuPlayer中,可以发现许多类似于下面的代码: 1 //=======================================// 2 NuPlayerDriver::NuPlayerDriver(pid_t pid) 3 : ...... 4 m...
TCP+unidbg+Frida抓包采集
小龙在线
05-21 651
jadx查看java代码 查看Frame类 查看writeDate中String.format的格式: function hook_v1() { // frida -FU -l hook.js com.yuanrenxue.match2022 Java.perform(function() { var OooO00o = Java.use("o00OO.OooO00o"); OooO00o.OooO00o.implementation = function(
android 消息处理框架,Android Native异步消息处理框架
weixin_42153793的博客
05-29 326
、前言在NuPlayer中,可以发现许多类似于下面的代码:1 //=======================================//2 NuPlayerDriver::NuPlayerDriver(pid_t pid)3 : ......4 mLooper(newALooper)5 ......{6 mLooper->setName("NuPlayerDr...
Android Binder之native解析
Kelly_ge的博客
09-01 652
1 前言 Binder是Android系统中提供的种进程间通信方式,Android是基于Linux内核的,除了Binder外,还有其他的进程间 通信方式,可以参考笔者之前的文章, Linux自带多种进程间IPC,为什么Google却用Binder作为Android主要的进程间IPC?。 对我们好多开发者来讲,最难也最想掌握的恐怕就是Binder了,Android整个系统可以看作个基于Binde...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值