本文聚焦Android应用安全,分析部分加固产品加固后APK反编译报错、仅得空AndroidManifest.xml文件的问题。发现是加固产品修改该文件实现加密,利用Android安装不解析无用标签属性、反编译工具解析的漏洞。还给出从Manifest文件入手的解密方法及手动修改步骤,最终成功反编译。
最近对Android应用安全这一块比较关注,所以了解了一些apk加固产品。发现部分加固产品加固后的apk在反编译时会报错,反编译的结果只得到一个空的AndroidManifest.xml文件。针对此现象分析和查找一些资料,发现此情况是因为加固产品对AndroidManifest.xml文件作了一些修改从而实现apk加密。所以写此稿作分析记录,若有新发现则更新。
1.问题:
在反编译某加固产品加固后的apk时出现报错如下:
W: Could not decode attr value, using undecoded value instead: ns=android, name=
qihoo, value=0x00000016
2.直接从apk压缩包中拖出AndroidManifest文件并用AXMLPrinter2.jar工具对其进行格式转换发现Application标签中存在一个这样子的属性:
android:qihoo="activity"
由于android命名空间中并没有qihoo这个属性,所以猜测是加固产品对manifest文件做了手脚。
3.查阅资料发现此种加密是利用了某个漏洞。即Android在安装运行apk时并不会对无用的标签属性进行解析。但是进行反编译时apktool却会对每一个标签属性进行解析,所以导致无法反编译。在此非常感谢wanchouchou大大的文章http://www.cnblogs.com/wanyuanchun/p/4084292.html
4.解密:既然问题已经找到,那么解密工作就应该从Manifest文件入手。目前发现最全的manifest二进制文件格式如图,是看雪论坛MindMac大大的贴给出的:http://bbs.pediy.com/showthread.php?t=194206。
5.非常感谢以上两位大大给出便利。
6.手动解密:
分析文件格式可以知道,解密该manifest文件只要把Application标签下的android:qihoo属性删除即可。所以文件需要修改的地方如下:
删除application标签下的android:qihoo属性,总大小为1*5*4bytes
修改XmlContent chunk 中 application start tag chunk的Attribute count 减去1
修改application start tag chunk的chunk size 减去0x14
修改整个xml的file size 减去0x14
修改的细节就不说了,修改前后的xml及apk文件下载链接:链接:链接:http://pan.baidu.com/s/1i9d86 密码:exod
7.将修改后的xml文件替换掉原apk的中的xml文件,apktool反编译,成功反编译出所有文件!今天先到这,下次再看吧。
扫一扫
605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
