android逆向奇技淫巧二十三:自己写app调用x音关键so(未完待续)(八)

  之前逆向中,通过ida栈回溯找到了一些函数,但分析起来还是费劲,主要的痛点:

  • 代码量大:libmetasec_ml的text段从0x7c50开始,0x84170结束;粗略估计代码超过13万行(这还不包括init段的代码);

          ;  尝试着用CE在内存中找各种加密的magic number、url,然后下内存的读断点的方式缩小代码的分析范围;这种方法确实能找到一些读这块内存区域的代码,并且随着我操作x音软件,比如点赞、上下滑动等,这些代码的执行次数明显增加,说明这些代码确实读了内存的magic number!然而android下的ce功能有残缺(当然也有可能是我没用好,有熟悉的朋友还请多多提示!)无法像windwos下那样做堆栈回溯和代码trace(貌似hyperpwn可以,后续要试试),这里只能悻悻作罢!       

  • 混淆严重:vmp、加壳;
  • 反IDA的F5,人为改变栈平衡:(1)函数中间增加大量无用的分支,破坏栈平衡 (2)结尾“隐藏”pop代码;(https://bbs.pediy.com/thread-269072.htm 这里有看雪大佬提供的脚本快速找到函数末尾的pop代码,亲测有用!)   小tips:遇到下面这种无法识别的块状数据,建议点击右键,选择“data”,把代码块拆散成单个字节;然后再用c或p识别成汇编;如果ida提示无法识别,可能是thumb或arm模式交叉导致的,建议直接alt+g键,选择thumb还是arm模式;thumb模式是0x1,arm模式是0x0;人为选定好模式后,再用c或p都能正常识别汇编代码了!
  •  AgentSmith HIDS:字节开源的HIDS工具,采用内核驱动方式进行入侵检测,可以检测各种rootkit/bootkit,具有实时,高性能,无感知的优势;详细介绍在这里:https://mp.weixin.qq.com/s/rm_hXHb_YBWQqmifgAqfaw,自称最后的防线(注意这措词,你品、你细品!); 我之前用frida在模拟器hook,老是提示memory acccess violation,估计就是这货干的:先改变内存属性,再hook mprotect,导致我调用mprotect的时候 怎么都没法把内存改成可写可执行的! HIDS的核心功能就是hook好些个linux的系统调用或内核函数,和windows下的ssdt hook没本质区别(早些年非常流行这么干,比如在驱动0环下hook openprocess、createprocess、virtualAlloc等关键的系统api来监控自己是不是被调试、被hook了,最著名的例子就是鹅厂的TP保护啦)!windows可以通过内核重载、用原dll替换等方式绕过ssdt hook,linux该怎么操作了(用原厂的libc.so替换手机的libc.so)?熟悉的大佬还请多多赐教!

  • ida调试时弹各种signal的框!原本以为是其他线程为了反调试发送的signal,后来发现不是,因为挂起其他线程后还是会遇到signal弹框! 难道是主线程自己发送的signal?查看了导入表,确实有raise和sigaction函数,比如这里就用了raise发送信号:,  所以干脆一不做二不休,直接把BLX代码NOP掉不让发signal!然后把新的so上传到这个目录,然后用chgrp system libmetasec_ml.so、chown system libmetasec_ml.so 、chmod 777 libmetasec_ml.so 这3条命令更改我们打过补丁so的属性;继续用ida调试,发现更改生效了! 本以为signal反调试该绕过了吧,然而单步时发现还是不行,ida照样弹signal的框!WTF.......

    想了好多方法,目前看都不奏效,是在没办法了,还是自己写个app调用那几个关键的so吧!x音的关键so有4个,分别时metasec_ml,sscronet、ttboringssl、ttcrypto4,加载直接用System.loadLibrary就行了,关键是从哪个函数开始调用了?

    之前通过hook registerNative发现:metasec_ml中的0x1094c被ms.bd.c.h.a方法注册成了native函数,这是metasec_ml唯一的native函数,肯定很重要,就从这里下手呗!这个函数有5个参数,分别都是啥了?hook一下,通过上下滑动、点赞等操作,得到的部分结果如下:

  (1)前面5行就是5个参数(第三个参数3069363984是个大坑,后面会分享),最后一行是返回值(注意:\u003d是等号,打印的时候没注意);到这里就非常明确了:我点赞的时候,会给第4个string类型的url发送第5行的参数,然后返回5个关键字段!

enter================================================================================
50331649
0
3069363984
https://aweme.snssdk.com/aweme/v1/commit/item/digg/?aweme_id=7012190183613271326&type=0&channel_id=0&city=511500&activity=0&os_api=25&device_type=SM-G9750&ssmix=a&manifest_version_code=150901&dpi=280&app_name=aweme&version_name=15.9.0&ts=1633082005&cpu_support64=false&app_type=normal&ac=wifi&appTheme=light&host_abi=armeabi-v7a&channel=douyin_baizhong_and9&update_version_code=15909900&_rticket=1633082005559&device_platform=android&iid=2542488099492919&version_code=150900&cdid=5b43e48d-b149-4c8a-8863-b2d84e650be4&openudid=b83ec6a675adba6a&device_id=4380918606995591&resolution=1080*1920&device_brand=samsung&language=zh&os_version=7.1.2&aid=1128&minor_status=0&mcc_mnc=46000
["accept-encoding","gzip","activity_now_client","1633082006281","cookie","n_mh\u003dB6WRe0yd-1qIuffF6ZWNO-CSGlW1Q-VhC0E79NrqYTg; uid_tt\u003db21518a30e097fbd558cdddf9bcfd3a5; uid_tt_ss\u003db21518a30e097fbd558cdddf9bcfd3a5; sid_tt\u003d5a51412bfb955ee582edae8d48765690; sessionid\u003d5a51412bfb955ee582edae8d48765690; sessionid_ss\u003d5a51412bfb955ee582edae8d48765690; d_ticket\u003d6b7d0d3678f21faa482196c460483d4eed15d; install_id\u003d2542488099492919; ttreq\u003d1$a01a1173c36665a50314924786f4704df6cdeb45; sid_guard\u003d5a51412bfb955ee582edae8d48765690%7C1633073022%7C5184000%7CTue%2C+30-Nov-2021+07%3A23%3A42+GMT; odin_tt\u003dd6830b19108bdcaae41090d9e65ad3759470032f5ccca0d570fd9068245737d04d72f7ebd8f424642c74aef7daa7fe7c17a304e4e90fadce583fbd2f27b62b3dbd220c701a5f855bfbb03f28d9ff1a00","passport-sdk-version","18","sdk-version","2","x-ss-req-ticket","1633082005560","x-tt-dt","AAAWE6B2GUFAXT6334YUXULDQYYJVNUET2U6F65LF4DGP633PKKOW4G5RYQICNRGETWUCJRQXA3KLBYATX3VN5EH53KVHI4OIODKU3QK5WSB4UMPRT3J6KWQMJ2KNYZOH6KVIR4HS3IWTLWOI3XSXLI","x-tt-token","005a51412bfb955ee582edae8d487656900578dbace1e129cdfc145db79a00a679c435f1b944bc01d40440569340d2d807f071e4d421235be08f35642578ff5e0afecb90db9ae98f5e40e594b9c7603c4e79f7d39f26e6c1ce79df4f6be652d82543e-1.0.1","x-vc-bdturing-sdk-version","2.1.0.cn"]
["X-Argus","8sTiPtr788+juhDzIL0jWZPmgIt1f6kaNjxdd2LaNmaR/FrXZqBrMrdLDXSpsTG/0pLJREpqO/LhzMrjtRbdRqsXkLS7WpGWCM1O9l1D1xYEV8FXNSZNWkmtszxRs5+7QnCBJlgD7K62/8pF6pKq1xw915KGoIoz2bTtvb2FBMmTvyVWVXgqG+9yqdRrBLBfAbOhCLTRXDikVZ0KOYM3Gnm88fsYKV/riWChXYq9oGh1JqCz0VG6RrpITW54nA3xjzVRIOair1wu5bvj8Yp2QF0ph+ummGqjH+ZqnOaKJCobCw\u003d\u003d","X-Gorgon","040420a40000559cfe7a35c31f04c7aacf9f1c661cc4dcd753b8","X-Khronos","1633082005","X-Ladon","OzDzLnKqALRcVy3TGY2HtTR6IYSLoy3Hq72URmF7RR5WkVWx","X-Tyhon","2h6mMNrftz3Ox9JX6vPfCdv/hDHM27Qpltiuk0U\u003d"]
leave================================================================================

   事已至此,如果只是想生成这5个字段用来刷单、刷赞等,可以直接hook ms.bd.c.h.a方法,传入自己特定的参数,拿到返回值即可,没必要继续死磕算法细节了!但是站在学习角度,还是有必须要继续深入的!

       (2)接着上面的分析,在自己的app中调用ms.bd.c.h.a,传入上面的5个参数;自己写的app大概是这样的:整个工程在文章末尾的百度网盘有

   

  本以为一帆风顺、能直接看到返回5个关键字段了,发现android studio报错如下:

--------- beginning of crash
2021-10-02 11:15:47.670 4349-4349/com.test.douyin A/libc: Fatal signal 11 (SIGSEGV), code 1, fault addr 0x4 in tid 4349 (com.test.douyin)

  报错就算了,app还闪退,根本没法用ida、frida来hook排查原因!想来想去,最后只能寄希望于ida了!app不是闪退么?通过 adb shell am start -D -n com.test.douyin/com.test.douyin.MainActivity 命令先让app挂起,然后用ida附加,再执行jdb –connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8644即可,结果4个so刚加载完就报异常:

        

   这个还好,代码还可以继续运行!还记得前面文章分享的ida trace脚本了?我的思路是这样的:用ida从metasec_ml的0x1094c开始指令级别的trace,看看我传入的参数到底是怎么一步一步处理、然后返回得到5个加密字段的;事实再次证明:我想的真美!从metasec_ml的0x1094c开始,前面200来行的指令还算正常,一直在跑,栈上还能看到我传入的url参数!

        

         直到遇到了 “LDR R0, [R4,#0xC]” 这句指令,执行时一直弹窗报错,走不下去了,定睛一看,我的个乖乖!R4的值=0xB6F2C710,也就是3069363984L,这特么不是我传入的第3个参数么?这个数据是hook x音原始app得到的,也就是说x音是直接传了一个有效的地址进来,这个地址可能存了某些重要数据;我自己构造app传参时只顾着埋头“抄作业”,不知道这个字段的含义!

    

  这里又是一个卡点,还要继续想怎么处理!(个人猜测这也是x音反逆向的手段之一,就是为了防止so被第三方单独拎出来调用,所以传递参数的时候故意传了一个地址来验证!)  

  类似的防护方式下x信抢红包也遇到过:以前是直接调用某个接口、传入参数就能抢红包了,现在复杂了一些:需要先调用某接口,让x信返回一串字符,再用这串字符+其他参数调用新接口抢红包,增加了逆向难度!   

 

吐槽:

1、构造app时,经常遇到如下错误:发现是sscronet注册了大量的native函数,这些函数都要挨个在java代码补上,非常痛苦!

2021-10-01 21:00:49.072 5466-5466/com.test.douyin A/chromium: [1001/210049.036672:FATAL:jni_android.cc(141)] Failed to find class com/ttnet/org/chromium/net/X509Util
    #00 0x0c9144bd /data/app/com.test.douyin-2/lib/arm/libsscronet.so+0x001144bd
    #01 0x0c945739 /data/app/com.test.douyin-2/lib/arm/libsscronet.so+0x00145739
    #02 0x0c945799 /data/app/com.test.douyin-2/lib/arm/libsscronet.so+0x00145799
    #03 0x0c8c5b95 /data/app/com.test.douyin-2/lib/arm/libsscronet.so+0x000c5b95
    #04 0x0c8c3f1f /data/app/com.test.douyin-2/lib/arm/libsscronet.so+0x000c3f1f
2021-10-01 21:00:49.072 5466-5466/com.test.douyin A/libc: Fatal signal 6 (SIGABRT), code -6 in tid 5466 (com.test.douyin)

 为了方便大家,我把自己建好的app、hook的脚本、打印的日志、trace的日志都上传到网盘了:https://pan.baidu.com/s/1VKbcZDC-wp79q_lPE4XGmg  提取码:jeer ;希望各位大佬帮忙完善一下,感谢!

参考:

1、https://zhuanlan.zhihu.com/p/346722474  SIGSEGV错误类型说明

posted @ 2021-10-02 23:09  第七子007  阅读(5742)  评论(4编辑  收藏  举报