使用 Unicorn 还原变异 CRC32 算法

最新推荐文章于 2025-03-30 23:38:33 发布
原创 最新推荐文章于 2025-03-30 23:38:33 发布 · 1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#算法 #逆向 #android #安全 #unicorn #汇编

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

ARM64Emulator

ARM64Emulator 是基于 Unicorn 实现一个轻量级的 ARM64 模拟器,具备代码加载、内存映射、指令执行、反汇编、寄存器监控、Hook、Patch、字符串处理等功能

项目地址:https://github.com/CYRUS-STUDIO/ARM64Emulator

这里主要使用 ARM64Emulator 模拟执行 so 中的汇编指令实现算法还原。

目标应用信息

word/media/image1.png

app 中实现一个 CRC32 算法变形,具体实现在 so 中 modifiedCRC32 函数,现在要通过 unicorn 和 IDA Pro 逆向还原 so 中的算法。

word/media/image2.png

项目地址:https://github.com/CYRUS-STUDIO/AndroidExample

目标 so 文件地址:https://github.com/CYRUS-STUDIO/ARM64Emulator/tree/main/examples

使用 ARM64Emulator 加载 so 并执行 modifiedCRC32 函数的汇编指令实现算法还原。

from unicorn.arm64_const import *
import struct
import re

from ARM64Emulator import ARM64Emulator


def modifiedCRC32(data):
    emulator = ARM64Emulator("libcrc32.so")

    mu = emulator.mu

    # 字符串地址
    str_addr = emulator.STACK_BASE + emulator.STACK_SIZE
    emulator.mu.mem_map(str_addr, 0x1000)  # 4KB
    
    ...

    # 初始化传参
    emulator.set_x0(0) # JNIEnv*
    emulator.set_x1(0) # jobject
    emulator.set_x2(str_addr) # input

    # 运行
    emulator.run(0x1C040, 0x1C2D8)

    return hex(mu.reg_read(UC_ARM64_REG_X4))

if __name__ == "__main__":
    result = modifiedCRC32("546NBypEyvgBt")
    print(f"modifiedCRC32 result: '{result}'")

但汇编指令中有调用到一些 JNI 接口函数和系统函数,需要分析汇编代码并替换成对应的 Python 实现。

关键汇编代码分析

_ReadStatusReg

汇编代码如下:

.text:000000000001C05C 59 D0 3B D5                   MRS             X25, #3, c13, c0, #2
.text:000000000001C060 3A 01 00 D0                   ADRP            X26, #modified_crc32_table_ptr@PAGE
.text:000000000001C064 F4 03 02 AA                   MOV             X20, X2
.text:000000000001C068 28 17 40 F9                   LDR             X8, [X25,#0x28]
.text:000000000001C06C F3 03 00 AA                   MOV             X19, X0
.text:000000000001C070 A8 83 1F F8                   STUR            X8, [X29,#var_8]

MRS X25, #3, c13, c0, #2

  • MRS(Move from System Register)用于 读取系统寄存器。

  • #3, c13, c0, #2 对应 TPIDR_EL1(线程特定寄存器,常用于存储 TLS 线程本地存储指针)。

  • 这行指令 将 TPIDR_EL1 读入 X25,可能是为了访问某个线程局部存储的数据。

ADRP X26, #modified_crc32_table_ptr@PAGE

  • ADRP(Address of Page)用于 获取 modified_crc32_table_ptr 所在的内存页地址,存入 X26。

  • 这个指令不会提供完整地址,需要 结合 ADD 或 LDR 获取最终地址。

MOV X20, X2

  • 保存 X2 到 X20

LDR X8, [X25,#0x28]

  • 从 X25(即 TPIDR_EL1)的偏移 0x28 处读取一个 64-bit 值,存入 X8。

  • X25 指向 TLS(线程局部存储),所以 0x28 偏移量可能是线程相关的变量。

MOV X19, X0

  • 备份 X0 到 X19,可能是 函数的第一个参数,用于后续计算。

STUR X8, [X29,#var_8]

  • 把 X8 存入 X29(即 FP,帧指针)的 var_8 位置,通常是局部变量或栈空间的一部分。

  • STUR(Store Register Unscaled)是 STR 的变种,支持负偏移。

这段汇编代码中,主要通过 MRS 指令读取系统寄存器中内存访问异常相关状态信息信息,只需要把相关的两条指令 nop 掉就好了。

# v49 = *(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);
emulator.patch_nop([0X1C05C, 0X1C068])

GetStringUTFChars

汇编代码如下:

.text:000000000001C160 68 02 40 F9                   LDR             X8, [X19]
.text:000000000001C164 E0 03 13 AA                   MOV             X0, X19
.text:000000000001C168 E1 03 14 AA                   MOV             X1, X20
.text:000000000001C16C E2 03 1F AA                   MOV             X2, XZR
.text:000000000001C170 08 A5 42 F9                   LDR             X8, [X8,#0x548]
.text:000000000001C174 00 01 3F D6                   BLR             X8
.text:000000000001C174
.text:000000000001C178 F5 03 00 AA                   MOV             X21, X0
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Unicorn系列--基础知识
Tasfa的博客
05-12 2349
Unicorn是一个轻量的跨平台、多架构CPU模拟器框架
使用 Unicorn 调用 android so 中的 JNI 方法
02-10 790
编写一个方法用于打印所有 ARM64 寄存器的值,包括 通用寄存器(X0-X30)、SP(堆栈指针) 和 PC(程序计数器)。调用 emu_start ( start_address, end_address ) 开始执行 add 方法的机器码。通过 IDA 打开 so 文件可以看到 add 方法的开始地址为 0x0608,结束地址为 0x063C。前 8 个参数(整数/指针)使用 X0-X7(64 位)传递,32 位值使用 W0-W7。第 5 个及后续参数 存放在栈上(从 SP 指向的位置开始)。
frida辅助分析ollvm字符串加密
Qiled的博客
03-26 3491
frida辅助分析ollvm字符串加密 近期逆向任务繁重且艰巨,因此把工作期间得学习心得做下笔记还是十分得有必要得。防止后期遗忘。 文章目录frida辅助分析ollvm字符串加密一.Ollvm混淆简单版分析 - datadiv1. 如何辨别OLLVM字符串混淆?2. 初步分析3. 编写通用方法打印字符串二. Ollvm字符串混淆 - 找不到datadiv 一.Ollvm混淆简单版分析 - datadiv 使用2.0.0apk案例 1. 如何辨别OLLVM字符串混淆? 把so文件拖入IDA. 到导出表
ARM64基础0:ARM64架构简介
科学边界
07-31 7375
如题,一些ARM64通用的架构知识
2021东华杯-Re-All
m0_51713041的博客
11-16 2091
2021东华杯-Re-all 对于这个比赛呢,还是挺有感悟的,你一个人怎么和那些"几个队伍一起打的"对线,我也不知道该怎么说,我只能说打ctf的都懂我前面那句话,虽然我花了一天AK了逆向,但是也没用,hh… 看题吧,还是有些地方能够积累一些经验的 ooo 这道题应该算是一道签到题吧 看汇编 movzx edx, byte ptr [rbp-105] movzx eax, byte ptr [rbp-104] xor edx, eax movzx eax, byte ptr [rbp-1
8、Unicorn
宇之日记
10-29 760
QEMU 是一个全面的开源虚拟机管理程序,除了 CPU 仿真之外,它还提供了完整的虚拟化解决方案,可以模拟整个计算机系统,包括 CPU、存储、网络等。,并支持 Pharo,Crystal,Clojure,Visual Basic,Perl,Rust,Haskell,Ruby,Python,Java,Go,.NET,Delphi / Pascal 和 MSVC 的编译。QEMU 功能强大、灵活,但也相对复杂,尤其是在配置虚拟机时,它的资源消耗比较高,适合于需要完整系统模拟的应用场景。
安卓逆向学习笔记之逆向OLLVM的非通用方法-使用unicorn调用算法.docx
05-01
安卓逆向学习笔记之逆向OLLVM的非通用方法-使用unicorn调用算法.docx
目标跟踪算法 Unicorn 运行测试windows失败记录
weixin_44298961的博客
03-21 634
代码运行失败合集
unicorn:一个Cloud Native Buildpack,它为使用Unicorn Web服务器的应用程序提供启动命令
03-30
Unicorn CNB为在Unicorn服务器上运行的给定的ruby应用程序设置启动命令。 一体化 该CNB编写了一个start命令,因此目前还没有可以想象的情况,您需要将其作为依赖项。 如果用户喜欢包含其他功能,则可以独立于...
某加固so层脱壳
2503_90751789的博客
02-24 1709
加固版本:2025/2/11 最新免费版。
unicorn-lib:C ++的Unicode库
02-22
独角兽图书馆 Ross Smith的C ++ Unicode库
arm linux系统调用分析
11-10
关于arm linux 系统调用的分析,主要分析了swi指令后,cpu陷入svc状态后内核的处理过程
android 领取红包情况,【春节】解题领红包之三 {Android 中级题}解题过程分享
weixin_34274601的博客
05-31 572
本帖最后由 pk8900 于 2021-3-1 23:31 编辑0x01:使用工具jadx-guiIDAAndroidKiller0x01:初步探查下载APK后,用jadx-gui打开,转到APK入口:入口:cn.pojie52.cm01.MainActivity看到代码如下:[Java] 纯文本查看 复制代码public class MainActivity extends AppCompatA...
某神的算法[uf,ab,ef]相关算法浅谈
任雪飘的博客
06-21 1332
uf,ab,ef以上java层调用过程图so 是做了处理的导出函数没有,说明是加固了。那就要内存解析后dump出解密的so.不能无法分析代码是能正常看到了,不过很复杂,里面是相互嵌套的,静态搞了很久,不行。原因是采用ollvm。
第八章 Android 原生程序开发与逆向分析(六)(原生 C++ 程序逆向分析 - 原生 so 动态库逆向分析)
zlmm741的博客
04-12 3218
文章目录原生 so 动态库逆向分析 原生 so 动态库逆向分析 原生 so 动态库可用 C 或 C++ 开发,除了前面介绍的代码特性,so 动态库还可用 JNI 接口函数来实现 Java 层与 Native 层的通信 实例:之前的 ndkjnidemo 用 IDA 载入 arm64-v8a 的 libnative-lib.so,查看 Java_com_droider_jnidemo_MainAc...
c++ 回调函数_UnicornVM进程环境的指令级函数虚拟机
weixin_39637924的博客
11-22 326
这个标题是不是有点绕?咱们来剖析理解一下,请看下表。进程环境这里指跑在真实系统中的进程,比如iOS、Android系统中的App、Service、Daemon等。指令级这里指armv7、arm64、arm64e指令集。函数这里指汇编级C函数。虚拟机这里指可逐条执行指令的虚拟CPU,基于Unicorn实现。上述概念合起来就是:UnicornVM是跑在真实物理进程环境的虚拟机,它以汇编级C函...
【STM32】HAL库开发教程(九)—W25qxx使用
weixin_44064233的博客
12-28 3355
前言 不必害怕未知,无需恐惧犯错,做一个Creator! 本文主要介绍STM32_HAL库开发中W25qxx的配置使用 一、开发步骤 1.指令表配置 W25qxx的系列芯片的指令表大部分是互通,在参照芯片确定后,对指令进行宏指令配置。 定义包括:读指令,写指令,擦除指令 #define W25X_WriteEnable 0x06 #define W25X_WriteDisable 0x04 #define W25X_ReadStatusReg1 0x05 #define W25X_ReadSta
Unidbg Trace 反 OLLVM 控制流平坦化(fla)
最新发布
03-30 733
在 callJniMethodObject 方法之前添加如下代码,trace 指令执行和内存读写,并把 trace log 输出到文件。得到 trace log,包含指令流、寄存器变化、内存读写信息。F5 反汇编代码如下,很明显通过 fla 隐藏了真实的执行流。通过 unidbg 加载 so 并执行 so 中目标函数。把 so 放到 resource 目录下。根据真实的执行指令流去还原算法执行过程。目标方法反汇编视图如下。
[register]-ARM64重要寄存器介绍
热门推荐
baron-周贺贺-代码改变世界ctw
06-29 1万+
PSTATE(process state)是一些状态位. 一些位仅在aarch32 state下使用、一些位仅在aarch64 state下使用、一些位可以同时在aarch32/aarch64 state下使用; 1、PSTATE aarch64的读写 在aarch64中,只能可以通过MSR/MRS指令访问特殊寄存器(special-purpose)的方式读写这些位. 除了这些特殊寄存器中表示的位,PSTATE的其它位都是不能访问的. (1)、 这些特殊的寄存器包含 : NZCV、DAIF、CurrentE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值