Android SO文件保护加固——加密篇(二)

最新推荐文章于 2025-05-09 16:06:41 发布
转载 最新推荐文章于 2025-05-09 16:06:41 发布 · 1.5k 阅读 · 0

本文详细介绍了一种无需源码即可对Android平台上的.so文件中的特定函数进行加密的方法,包括加密原理、实现步骤及逆向解密流程。适用于提高应用程序的安全性和防止静态分析。

已经很长一段时间没更新了,一方面本人技术一般,不知道能给技术网友分享点什么有价值的东西,一方面,有时候实验室事比较多,时间长了就分享的意识就单薄了,今天接着前面那个so文件重要函数段加密,接着更,接下来开始书写。

一、原理篇

      在很多时候我们对一个.so文件中重要的函数段加密时,是无法拿到源码的,当然并不排除可能在以后随着Android开发与安全结合,出现逆向开发者,在开发的时候就进行一些重要的函数的保护,在上一篇中是对特定的section的加密,加密就可以根据section来进行查找加密不需要源码,而解密是利用linker在加载执行的时候利用__attribute__((constructor))的特性实行so加载时的自解密的特性; 

      在这一篇中,我们不需要源码,我们拿到待需要保护的.so文件进行加密,怎么加密呢?是基于特定函数进行加密,具体的原理后面会详解;我们知道任何函数在加密过后,在你加载执行的时候都是需要解密的,如果不进行解密的话是一定会报错的,因此这里面比较重要的就是解密时机,只要在加密函数被执行前进行解密完就ok,可以另外写一个.so文件为解密文件,只要在执行函数前解密就可以,原理就是这样。

基本上大致的步骤为:

1.首先要给你进行保护的.so文件中的重要函数加密;
2.逆向开发,自己写针对以上待解密的.so文件;
3.然后修改smali层进行调用解密so文件;

二、详解篇

这里重点讲解对于一个.so文件的重要函数进行加密逆向开发以及解密在下面实现篇进行介绍;

我们可以用IDA工具拿到要加密的函数名,比如本篇中:


接下来最重要的就是怎么在这个.so文件中找到这个函数名,需要对ELF文件有足够的了解:有一篇北大的关于ELF篇的详细分析文档 ,当然我都会传到后面附件中。

在加密之前要明白一点就是在ELF文件中一些关于动态链接的时候的一些重要的节区,观察下面这个表格:


可以看出这几个节区的重要性,因此接着看下面这个加密的流程;这一块是借鉴网上大神的一个源码,当然后面会给出分享,我只是在此做出一个梳理有利于读者的学习和理解:

加密流程如下:

1.解析文件头,获取e_phoff、e_phentsize和e_phnum等字段的信息,后面根据这些信息进一步得到p_offset和p_filesz;

2.根据程序头部的结构中的p_type得到Dynamic段的偏移值和大小;


关键代码段为:

 

3.遍历Dynamic段找到dynsym、.dynstr、.hash section文件中的偏移和.dynstr的大小;这块大家可能比较好奇为什么一个段中有这么多节,这是因为在执行时,把一些相同权限的节放在一起,以减少空间浪费

大家或许会问为什么有.hash节?

因为别的与此函数名相关的section的type有可能会相同)

比如看这个so文件


这个时候我们看到北大的ELF分析中讲到:(以下是对原内容的截取)


因此我们可以来分析hash .dynamic段一般用于动态链接的,所以.dynsym和.dynstr,.hash肯定包含在这里。我们可以解析了程序头信息之后,通过type获取到.dynamic程序头信息,然后获取到这个segment的偏移地址和大小



4.根据函数的方法名,计算所对应的hash值,根据hash值,找到下标hash % nbuckets的

bucket;根据bucket中的值,读取.dynsym中的对应索引的Elf32_Sym符号;从符号的

st_name所以找到在.dynstr中对应的字符串与函数名进行比较。若不等,则根据

chain[hash % nbuckets]找下一个Elf32_Sym符号,直到找到或者chain终止为止 

5.找到函数方法后进行加密;

三、实现篇

Number01:首先我们自己写一个样本

样本很简答,就是在本地层写一个算法样本源码会在后面给出链接大致上如下:

JNIEXPORT jstring JNICALL Java_com_example_zbb_test01_MainActivity_getStringFromNative
        (JNIEnv *env, jobject obj, jstring str)
{
   // jstring   CharTojstring(JNIEnv* env,   char* str);
    //首先将string类型的转化为char类型的字符串
    const char *strAry=(*env)->GetStringUTFChars(env,str,0);
    if(strAry==NULL){
        return NULL;
    }
    int len=strlen(strAry);
    char* last=(char*)malloc((len+1)* sizeof(char));
    memset(last,0,len+1);
    //char buf[]={'z','h','a','o','b','e','i','b','e','i'};
    char* buf ="beibei";
    int buf_len=strlen(buf);
    int i;
    for(i=0;i<len;i++){
        last[i]=strAry[i]|buf[i%buf_len];
        if(last[i]==0){
            last[i]=strAry[i];
        }
    }
    last[len]=0;
    return (*env)->NewStringUTF(env, last);
}

Number02:对形成的.so文件的重要函数名进行加密

接着对形成的.so文件中的"Java_com_example_zbb_test01_MainActivity_getStringFromNative"进行加密,当然这块的加密方法读者可以自己来定义,具体的看以下的代码:

[java]  view plain  copy
  1. <span style="font-size:24px;">private static void encodeFunc(byte[] fileByteArys){  
  2.         //寻找Dynamic段的偏移值和大小  
  3.         int dy_offset = 0,dy_size = 0;  
  4.         for(elf32_phdr phdr : type_32.phdrList){  
  5.             if(Utils.byte2Int(phdr.p_type) == ElfType32.PT_DYNAMIC){  
  6.                 dy_offset = Utils.byte2Int(phdr.p_offset);  
  7.                 dy_size = Utils.byte2Int(phdr.p_filesz);  
  8.             }  
  9.         }  
  10.         System.out.println("dy_size:"+dy_size);  
  11.         int dynSize = 8;  
  12.         int size = dy_size / dynSize;  
  13.         System.out.println("size:"+size);  
  14.         byte[] dest = new byte[dynSize];  
  15.         for(int i=0;i<size;i++){  
  16.             System.arraycopy(fileByteArys, i*dynSize + dy_offset, dest, 0, dynSize);  
  17.             type_32.dynList.add(parseDynamic(dest));  
  18.         }  
  19.           
  20.         //type_32.printDynList();  
  21.           
  22.         byte[] symbolStr = null;  
  23.         int strSize=0,strOffset=0;  
  24.         int symbolOffset = 0;  
  25.         int dynHashOffset = 0;  
  26.         int funcIndex = 0;  
  27.         int symbolSize = 16;  
  28.           
  29.         for(elf32_dyn dyn : type_32.dynList){  
  30.             if(Utils.byte2Int(dyn.d_tag) == ElfType32.DT_HASH){  
  31.                 dynHashOffset = Utils.byte2Int(dyn.d_ptr);  
  32.             }else if(Utils.byte2Int(dyn.d_tag) == ElfType32.DT_STRTAB){  
  33.                 System.out.println("strtab:"+dyn);  
  34.                 strOffset = Utils.byte2Int(dyn.d_ptr);  
  35.             }else if(Utils.byte2Int(dyn.d_tag) == ElfType32.DT_SYMTAB){  
  36.                 System.out.println("systab:"+dyn);  
  37.                 symbolOffset = Utils.byte2Int(dyn.d_ptr);  
  38.             }else if(Utils.byte2Int(dyn.d_tag) == ElfType32.DT_STRSZ){  
  39.                 System.out.println("strsz:"+dyn);  
  40.                 strSize = Utils.byte2Int(dyn.d_val);  
  41.             }  
  42.         }  
  43.           
  44.         symbolStr = Utils.copyBytes(fileByteArys, strOffset, strSize);  
  45.         //打印所有的Symbol Name,注意用0来进行分割,C中的字符串都是用0做结尾的  
  46.         /*String[] strAry = new String(symbolStr).split(new String(new byte[]{0})); 
  47.         for(String str : strAry){ 
  48.             System.out.println(str); 
  49.         }*/  
  50.           
  51.         for(elf32_dyn dyn : type_32.dynList){  
  52.             if(Utils.byte2Int(dyn.d_tag) == ElfType32.DT_HASH){  
  53.                 //这里的逻辑有点绕  
  54.                 /** 
  55.                  * 根据hash值,找到下标hash % nbuckets的bucket;根据bucket中的值,读取.dynsym中的对应索引的Elf32_Sym符号; 
  56.                  * 从符号的st_name所以找到在.dynstr中对应的字符串与函数名进行比较。若不等,则根据chain[hash % nbuckets]找下一个Elf32_Sym符号, 
  57.                  * 直到找到或者chain终止为止。这里叙述得有些复杂,直接上代码。 
  58.                     for(i = bucket[funHash % nbucket]; i != 0; i = chain[i]){ 
  59.                       if(strcmp(dynstr + (funSym + i)->st_name, funcName) == 0){ 
  60.                         flag = 0; 
  61.                         break; 
  62.                       } 
  63.                     } 
  64.                  */  
  65.                 int nbucket = Utils.byte2Int(Utils.copyBytes(fileByteArys, dynHashOffset, 4));  
  66.                 int nchian = Utils.byte2Int(Utils.copyBytes(fileByteArys, dynHashOffset+44));  
  67.                 int hash = (int)elfhash(funcName.getBytes());  
  68.                 hash = (hash % nbucket);  
  69.                 //这里的8是读取nbucket和nchian的两个值  
  70.                 funcIndex = Utils.byte2Int(Utils.copyBytes(fileByteArys, dynHashOffset+hash*4 + 84));  
  71.                 System.out.println("nbucket:"+nbucket+",hash:"+hash+",funcIndex:"+funcIndex+",chian:"+nchian);  
  72.                 System.out.println("sym:"+Utils.bytes2HexString(Utils.int2Byte(symbolOffset)));  
  73.                 System.out.println("hash:"+Utils.bytes2HexString(Utils.int2Byte(dynHashOffset)));  
  74.                   
  75.                 byte[] des = new byte[symbolSize];  
  76.                 System.arraycopy(fileByteArys, symbolOffset+funcIndex*symbolSize, des, 0, symbolSize);  
  77.                 Elf32_Sym sym = parseSymbolTable(des);  
  78.                 System.out.println("sym:"+sym);  
  79.                 boolean isFindFunc = Utils.isEqualByteAry(symbolStr, Utils.byte2Int(sym.st_name), funcName);  
  80.                 if(isFindFunc){  
  81.                     System.out.println("find func....");  
  82.                     return;  
  83.                 }  
  84.                   
  85.                 while(true){  
  86.                     /** 
  87.                      *  lseek(fd, dyn_hash + 4 * (2 + nbucket + funIndex), SEEK_SET); 
  88.                         if(read(fd, &funIndex, 4) != 4){ 
  89.                           puts("Read funIndex failed\n"); 
  90.                           goto _error; 
  91.                         } 
  92.                      */  
  93.                     //System.out.println("dyHash:"+Utils.bytes2HexString(Utils.int2Byte(dynHashOffset))+",nbucket:"+nbucket+",funIndex:"+funcIndex);  
  94.                     funcIndex = Utils.byte2Int(Utils.copyBytes(fileByteArys, dynHashOffset+4*(2+nbucket+funcIndex), 4));  
  95.                     System.out.println("funcIndex:"+funcIndex);  
  96.                       
  97.                     System.arraycopy(fileByteArys, symbolOffset+funcIndex*symbolSize, des, 0, symbolSize);  
  98.                     sym = parseSymbolTable(des);  
  99.                       
  100.                     isFindFunc = Utils.isEqualByteAry(symbolStr, Utils.byte2Int(sym.st_name), funcName);  
  101.                     if(isFindFunc){  
  102.                         System.out.println("find func...");  
  103.                         int funcSize = Utils.byte2Int(sym.st_size);  
  104.                         int funcOffset = Utils.byte2Int(sym.st_value);  
  105.                         System.out.println("size:"+funcSize+",funcOffset:"+funcOffset);  
  106.                         //进行目标函数代码部分进行加密  
  107.                         //这里需要注意的是从funcOffset-1的位置开始  
  108.                         byte[] funcAry = Utils.copyBytes(fileByteArys, funcOffset-1, funcSize);  
  109.                         for(int i=0;i<funcAry.length-1;i++){  
  110.                             funcAry[i] = (byte)(funcAry[i] ^ 0xFF);  
  111.                         }  
  112.                         Utils.replaceByteAry(fileByteArys, funcOffset-1, funcAry);  
  113.                         break;  
  114.                     }  
  115.                 }  
  116.                 break;  
  117.             }  
  118.               
  119.         }  
  120.           
  121.     }</span>  
核心部分代码已经在上面介绍;

加密过后再IDA中表现为:


Number03:接下来我们进行逆向开发解密文件的分析:

解密流程为加密逆过程,大体相同,只有一些细微的区别,具体如下:

1)  找到so文件在内存中的起始地址
2)  也是通过so文件头找到Phdr;从Phdr找到PT_DYNAMIC后,需取p_vaddr和p_filesz字段,并非p_offset,这里需要注意。
3)  后续操作就加密类似,就不赘述。对内存区域数据的解密,也需要注意读写权限问题。

[cpp]  view plain  copy
  1. #include <jni.h>  
  2. #include <stdio.h>  
  3. #include <stdlib.h>  
  4. #include <string.h>  
  5. #include <unistd.h>  
  6. #include <sys/types.h>  
  7. #include <elf.h>  
  8. #include <sys/mman.h>  
  9. #include <android/log.h>  
  10. //解密函数  
  11.   
  12. void init_getStringFromNative() __attribute__((constructor));  
  13. unsigned long getLibAddr();  
  14.   
  15. void clearcache(char* begin, char *end)  
  16. {  
  17.     const int syscall = 0xf0002;  
  18.     __asm __volatile (  
  19.         "mov     r0, %0\n"  
  20.         "mov     r1, %1\n"  
  21.         "mov     r7, %2\n"  
  22.         "mov     r2, #0x0\n"  
  23.         "svc     0x00000000\n"  
  24.         :  
  25.         :   "r" (begin), "r" (end), "r" (syscall)  
  26.         :   "r0""r1""r7"  
  27.         );  
  28. }  
  29.   
  30. void init_getStringFromNative(){  
  31.   char name[15];  
  32.   unsigned int nblock;  
  33.   unsigned int nsize;  
  34.   unsigned long base;  
  35.   unsigned long text_addr;  
  36.   unsigned int i;  
  37.   Elf32_Ehdr *ehdr;  
  38.   Elf32_Shdr *shdr;  
  39.   
  40.   base = getLibAddr();  
  41.   
  42.   ehdr = (Elf32_Ehdr *)base;  
  43.   text_addr = ehdr->e_shoff + base;  
  44.   
  45.   nblock = ehdr->e_entry >> 16;  
  46.   nsize = ehdr->e_entry & 0xffff;  
  47.   
  48.   if(mprotect((void *) base, 4096 * nsize, PROT_READ | PROT_EXEC | PROT_WRITE) != 0){  
  49.       __android_log_print(ANDROID_LOG_INFO, "JNITag""mem privilege change failed");  
  50.   }  
  51.   
  52.   for(i=0;i< nblock; i++){  
  53.     char *addr = (char*)(text_addr + i);  
  54.     *addr = ~(*addr);  
  55.   }  
  56.   
  57.   if(mprotect((void *) base, 4096 * nsize, PROT_READ | PROT_EXEC) != 0){  
  58.       __android_log_print(ANDROID_LOG_INFO, "JNITag""mem privilege change failed");  
  59.   }  
  60.   
  61.   clearcache((char*)text_addr, (char*)(text_addr + nblock -1));  
  62.   
  63.   __android_log_print(ANDROID_LOG_INFO, "JNITag""Decrypt success");  
  64. }  
  65.   
  66. unsigned long getLibAddr(){  
  67.   unsigned long ret = 0;  
  68.   char name[] = "libegg.so";  
  69.   char buf[4096], *temp;  
  70.   int pid;  
  71.   FILE *fp;  
  72.   pid = getpid();  
  73.   sprintf(buf, "/proc/%d/maps", pid);  
  74.   fp = fopen(buf, "r");  
  75.   if(fp == NULL)  
  76.   {  
  77.     puts("open failed");  
  78.     goto _error;  
  79.   }  
  80.   while(fgets(buf, sizeof(buf), fp)){  
  81.     if(strstr(buf, name)){  
  82.       temp = strtok(buf, "-");  
  83.       ret = strtoul(temp, NULL, 16);  
  84.       break;  
  85.     }  
  86.   }  
  87. _error:  
  88.   fclose(fp);  
  89.   return ret;  
  90. }  
Number04:然后修改smali层进行调用解密so文件:


然后在AK中重打包,在手机上运行,结果是OK的,但是在模拟器上出问题了,具体的原因还需进一步分析,如果网友有知道的望告知。

四、总结篇

通过这两篇的有无源码的so文件中特定setion还是无源码特定函数的加密,在一定程度上都能够防一些静态分析,但是防不了动态分析,只要加密无论是多么复杂的加密方法,但是就一定在执行的时候以解密后的形式在内存中完整的出现,因此只要在IDA中找到开始和结束的libegg.so的起始地址,dump出来就可以,因此下一步就是反dump和反调试来防止动态分析,以后有机会进一步分析。

最后附件是所有相关的代码和文件如图所示:


附件代码:点击打开链接


转自:http://blog.youkuaiyun.com/feibabeibei_beibei/article/details/52642288

Android so文件函数加密
qq_16812035的博客
02-28 2721
一、前言 经过上次写完在ELF文件中根据函数名找函数,就准备开始编写so文件函数加密,这里这是对代码进行加密,还没有对函数名做混淆,会放到下次写。还有本次的测试机是nexus4,操作系统为android 4.4。 、函数加密 一般在android中,各种核心的东西都会放在so文件中,因为native层的代码分析难度大,执行效率高。本文选择对so文件的核心函数进行加密,用来对抗静态分析。在加...
Android SO文件保护加固——混淆(一)源代码
09-26
Android SO文件保护加固——混淆
so文件加密
09-29
加密libdemo.so成功。 加密native-lib.cpp生成的libnative-lib.so不成功;
Android SO文件保护加固——加密(一)
mergerly的专栏
03-08 4955
是一系列的关于SO文件保护的自我理解,SO文件保护分为加固,混淆以及最近炒的比较火的虚拟机,由于本人菜鸟,无力分析虚拟机,我相信以后会有机会。。。加固就是将真正的so代码保护起来,不让攻击者那么轻易的发现,至于混淆,由于ART机制的介入,使得O-LLVM越来越火,这以后有机会再分析,这次主要是基于有源码的so文件保护,下次介绍无源码的so文件保护,废话不多说,开搞 在这之前首先对elf文
Android SO文件保护OLLVM混淆加固——混淆
10-03
本文将深入探讨如何使用OLLVM对Android SO文件进行混淆加固。 首先,我们需要了解OLLVM的工作原理。OLLVM基于LLVM(Low Level Virtual Machine),一个开源的编译器基础设施项目,它提供了编译器前端、中间表示(IR...
Android SO文件的OLLVM混淆加固技术研究
标题中的“Android SO文件保护OLLVM混淆加固——混淆)”涉及到了移动应用安全领域的几个关键知识点,这里将会详细解释这些知识点。 首先,“Android SO文件保护”指的是对Android操作系统中的共享对象...
Android SO文件加密与防逆向方案实现
本项目“Android SO文件加密与防盗”正是围绕这一核心安全理念展开,其核心技术在于:**利用JNI(Java Native Interface)机制,在SO动态库中存储和处理敏感信息,并通过验证调用方应用的数字签名来防止SO文件被非法...
基于JNI的Android数据库SQLite文件加密方案
“数据安全”和“Android安全”体现了项目的最终目的——构建一个安全可信的数据存储环境,“native层加密”则揭示了其实现层级的独特性:不同于常见的ContentProvider或Room框架中的字段级加密,该项目选择在更底层...
Android so 文件进阶<三> so文件的简单加密
weixin_30246221的博客
11-26 451
0x00 前言 之前的两文章从链接视图和执行视图分析了elf文件的大致结构,这文章主要内容是对于so文件进行简单的加密工作,针对Ida等静态分析工具的分析,一旦开始动态调试就应该很容易就可以dump出内存,直接修复了。 0x01 思路 主要是两种思路, 对文件中指定的section加密,然后在运行时由.initarray进行解密; 对指定的函数进行加密,在运行时由.inita...
[安卓开发] 通过so文件进行数据AES加密
11-26
调用JNI进行数据加密 , 加密刷法采用AES , 对一些敏感的数据进行加密 , 不用担心被破解
Android-将安全数据加密到本地.so库中的一种简单方法
08-12
将安全数据加密到本地.so库中的一种简单方法
so文件保护
05-26
有源码的SO文件的自己定义section的加解密
so加固(包括section加密&&so的函数加密).zip
07-21
android应用加固so加固,包括两种方法 一section加密so的函数加密,帮助你保护自己的应用。
APK加固 SO加密保护 SO加固 APK加密 Android应用加固_防篡改_APP加固
qq_20165903的博客
10-12 435
目前SO文件保护方案大概可以分为有源保护和无源保护:1.有源保护分为自解密、混淆、源码VMP等2.无源保护分为加壳、VMP保护
技术解读 - SO文件的安全,就交给这6大核心技术吧!
ZL_1618的博客
05-14 1715
众多开发者认为SO文件相对而言更加安全,并将许多核心算法、加密解密方法、协议等放在SO文件中。但是,黑客可以通过反编译SO文件,窃取开发者花费大量人力物力财力的研发成果,进行创意窃取或次打包,使得开发者和用户利益受损。!作为知名移动信息安全综合服务提供商,爱加密SO加固方面拥有3大技术优势。一、,对so文件的源码进行虚拟化保护,实现数据隐藏、防篡改、防Dump,增加逆向分析的难度。
深入理解Android应用中的so文件加固技术.zip
最新发布
weixin_36364707的博客
05-09 1329
Android应用中,加固是一个重要的过程,其中,Section加密是一个核心环节。Section加密的主要目的是增加应用的安全性,防止恶意攻击者通过逆向工程等方式窃取应用中敏感的代码和数据。通过对关键代码段实施加密,可以在很大程度上减慢甚至阻止逆向工程的进程。具体来说,Section加密的意义表现在以下几个方面:安全加固加密技术使得未授权用户很难理解和修改应用的行为,提高了代码的保密性。恶意行为防御。
Android逆向之旅---基于对so中的函数加密技术实现so加固
hgfujffg的博客
02-25 847
Android逆向之旅---基于对so中的函数加密技术实现so加固
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值