未加星标

【技术分享】Android SO自动化逆向探究

字体大小 | |
[网络安全 所属分类 网络安全 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【技术分享】Android SO自动化逆向探究 2017-09-29 11:55:51 阅读:3923次 点赞(0) 收藏 来源: 安全客
【技术分享】Android SO自动化逆向探究 作者:非虫
【技术分享】Android SO自动化逆向探究

作者:非虫

预估稿费:600RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


简介

长期从事Android SO动态库分析时,时常会做一些重复性较高的工作。例如,SO库中的Java_com_xxx_yyy()等一系统与Java层桥接的方法,逆向它们时,通常需要做如下工作:

IDA Pro载入SO,完成第一次的反编译。

导入jni.h头文件,引入JNINativeInterface与JNIInvokeInterface结构体信息。

设置Java_com_xxx_yyy()类型方法的前两个参数为JNIEnv* env与jobject thiz。

如果有F5插件,则进行一次Force call type。

......。

将这些工作自动化,可以大大的提高逆向分析的工作效率。基于IDA Pro提供的脚本与插件系统,可以很方便的完成以上前3项工作。下面,我们一步步来打造一个SO自动化逆向分析的工具。


目标细化

在开始完成一个工具前,需要将这些需要解决的问题进行一次量化分析。

首先,如何定位需要处理的SO库方法?由于Java_com_xxx_yyy()类型方法与Java层进行桥接,在java层代码中必定会有它的声明。所有的这些方法在Java代码中会有一个native属性,只需要遍历Java层的代码,获取所有的native方法即可。

其次,不同的方法有不同的参数类型,签名的不同,该如何处理?为了让工具实现起来过于复杂,我们只处理Java中内置的数据类型,自定义的数据类型统一使用jobject进行处理与表示。

最后,就是将获取到的Java层的所有native方法信息与IDA Pro中的相应的方法进行一一的对应,并进行方法的自动化类型处理,这就需要用到IDA Pro的脚本功能。


功能实现

明确了以上的3个步骤后,下面来动手一一的完成它。

解析native方法

为了快速的解析native方法,我最先想到的是使用grep命令(系统为macOS)。首先,使用JD-GUI反编译APK,导出所有的Java源文件,然后在命令行下执行:

$grep'native'-r./java_dir-hpublicnativeStringstringFromJNI();

或者执行如下命令:

$grep-Eo'^(|public|private|protected).*native.*;'-r./java_dir-hpublicnativeStringstringFromJNI();

不错,都能够正确获取到native方法,虽然输出的前面会有一个JD-GUI反编译带的空格。

为了让windows的用户,即使在不安装Mingw或其他的linux模拟环境的情况下,也能够正确的获取到方法,我还是决定使用python来写一个生成方法签名信息的脚本。就即名叫make_sig.py好了。

Python的便捷,让我可以很方便地在命令行下测试re模块的正则表达式,如下:

$python Python2.7.10(default,Feb72017,00:08:15) [GCC4.2.1CompatibleAppleLLVM8.0.0(clang-800.0.34)]ondarwin Type"help","copyright","credits"or"license"formoreinformation. >>>importre >>>l="publicstaticnativelongnativeLoadMaster(StringparamString,byte[]paramArrayOfByte1,String[]paramArrayOfString,byte[]paramArrayOfByte2);" >>>rr=re.match('^(|public|private|protected).*native(.*)(.*)[(](.*)[)];',l) >>>print"{}".format(rr.group(0)) publicstaticnativelongnativeLoadMaster(StringparamString,byte[]paramArrayOfByte1,String[]paramArrayOfString,byte[]paramArrayOfByte2); >>>print"{}".format(rr.group(1)) >>>print"{}".format(rr.group(2)) long >>>print"{}".format(rr.group(3)) nativeLoadMaster >>>print"{}".format(rr.group(4)) StringparamString,byte[]paramArrayOfByte1,String[]paramArrayOfString,byte[]paramArrayOfByte2

OK,正则表达式弄对了!可以正确的解析一条native方法的所有信息:返回值、方法名、签名。我这里不打算展开如何编写正则表达式,因为我觉得很多人应该会了,如果你对于正则表达式不太熟,建议你到这个链接快速的学习一下:https://github.com/zeeshanu/learn-regex 。

下面的代码片断是解析一个目录下所有的文件,找到native方法并保存到指定的文件中:

defmake_sig_file(java_src_dir,sig_file): f=file(sig_file,'w+') forparent,dirnames,filenamesinos.walk(java_src_dir): forfilenameinfilenames: #print"file:"+os.path.join(parent,filename) filepath=os.path.join(parent,filename) withopen(filepath)aso: content=o.read() forminre.finditer('(|public|private|protected).*native(.*)(.*)[(](.*)[)];',content): rr=re.match('package(.*?);.*?class([^\s]+)',content,re.S) pkg_name=rr.group(1) class_name=rr.group(2) func_name=m.group(3) print'func_name:',func_name print'pkg_name:',pkg_name print'class_name:',class_name full_func_name='Java_'+pkg_name+'_'+class_name+'_'+func_name full_func_name=full_func_name.replace('.','_') #print'full_func_name:',full_func_name full_method_sig=m.group(0) full_method_sig=full_method_sig.replace(func_name,full_func_name).strip() #printfull_method_sig f.write(full_method_sig+'\n') f.close()

这段代码不需要太多的解释,os.walk会遍历一个目录中所有文件信息,对于目录中的第一个文件,使用open打开后,调用re.finditer来匹配native方法,打到就把它写入到sig_file指定的文件名中。

更多的代码参看makesig.py的文件内容,对于很多人,你只需要知道执行

make_sig.pyxxx_outmethod_sig.txt

就可以生成methodsig.txt方法签名文件了。xxx_out为JD-GUI导出的APK的Java源码目录。

Java数据类型处理

好了,到现在已经取到了所有的native方法信息,现在需要对这些方法的签名进行处理。

所有的native方法支持的数据类型在jni.h头文件中都有定义,该文件可以在Android NDK任意系统版本的include目录下找到。在文件的开头就有这么一段:

typedefuint8_tjboolean;/*unsigned8bits*/ typedefint8_tjbyte;/*signed8bits*/ typedefuint16_tjchar;/*unsigned16bits*/ typedefint16_tjshort;/*signed16bits*/ typedefint32_tjint;/*signed32bits*/ typedefint64_tjlong;/*signed64bits*/ typedeffloatjfloat;/*32-bitIEEE754*/ typedefdoublejdouble;/*64-bitIEEE754*/

既然最后的处理代码使用Python来写,咱也不含糊,先弄一个jni_types如下:

jni_types={ 'boolean':'jboolean', 'byte':'jbyte', 'char':'jchar', 'short':'jshort', 'int':'jint', 'long':'jlong', 'float':'jfloat', 'double':'jdouble', 'string':'jstring', 'object':'jobject', 'void':'void' }

然后,写一个Java层方法类型转换成JNI类型的方法,代码如下:

defget_jnitype(java_type): postfix='' jtype=java_type.lower() ifjtype.endswith('[]'): postfix='Array' jtype=jtype[:-2] tp='' ifjtypenotinjni_types: tp='jobject' else: tp=jni_types[jtype]+postfix returntp

小小的测试一下:

deftest_jnitype(): printget_jnitype('int') printget_jnitype('Int') printget_jnitype('long') printget_jnitype('Long') printget_jnitype('void') printget_jnitype('String') printget_jnitype('String[]') printget_jnitype('boolean') printget_jnitype('ArrayList<String>') printget_jnitype('Object[]') printget_jnitype('byte[]') printget_jnitype('FileEntry')

输出如下:

jint jint jlong jlong void jstring jstringArray jboolean jobject jobjectArray jbyteArray jobject

稳!单个方法的签名解析没问题了,那将整个方法的类型转化为JNI接受的类型也没多大问题,代码如下:

defget_args_type(java_args): iflen(java_args)==0: return'JNIEnv*env,jobjectthiz' jargs=java_args.lower() args=jargs.split(',') #print'argcount:',len(args) full_arg='JNIEnv*env,jobjectthiz,' i=1 forjava_arginargs: java_type=java_arg.split('')[0] full_arg+=get_jnitype(java_type) full_arg+='arg' full_arg+=str(i) full_arg+=',' i+=1 returnfull_arg[:-2]

最后是编写get_jni_sig方法,实现一个Java的native方法签名转成IDA Pro能接受的签名信息。具体看代码,这里就不占篇幅了。

自动化设置方法信息

前两步没问题,到这里问题就不大了。下面是写IDAPython代码,来完成一个jni_helper.py脚本工具。

首先是IDA Pro分析SO时候,并不会自动的导入JNINativeInterface与JNIInvokeInterface结构体信息。这就需要自己来完成了。

JNINativeInterface的方法字段忒多,我不打算自己手写,容易出错还效率低下。我使用IDA Pro的导出功能,点击菜单File->Produce File->DUMP typeinfo to IDC file...,然后一个idc文件,然后复制IDC中的内容,简单修改就完成了add_jni_struct()方法,代码如下:

defadd_jni_struct(): ifBADADDR==GetStrucIdByName("JNINativeInterface"): AddStrucEx(-1,"JNINativeInterface",0) id=GetStrucIdByName("JNINativeInterface") AddStrucMember(id,"reserved0",0,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"reserved1",0X4,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) ...... AddStrucMember(id,"GetDirectBufferAddress",0X398,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"GetDirectBufferCapacity",0X39C,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) #SetStrucAlign(id,2) idc.Eval('SetStrucAlign({},2);'.format(id)) ifBADADDR==GetStrucIdByName("JNIInvokeInterface"): AddStrucEx(-1,"JNIInvokeInterface",0) id=GetStrucIdByName("JNIInvokeInterface") AddStrucMember(id,"reserved0",0,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"reserved1",0X4,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"reserved2",0X8,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"DestroyJavaVM",0XC,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"AttachCurrentThread",0X10,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"DetachCurrentThread",0X14,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"GetEnv",0X18,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) AddStrucMember(id,"AttachCurrentThreadAsDaemon",0X1C,0x25500400,0XFFFFFFFF,4,0XFFFFFFFF,0,0x000002) #SetStrucAlign(id,2) idc.Eval('SetStrucAlign({},2);'.format(id)) #idaapi.run_statements('autoid;id=GetStrucIdByName("JNIInvokeInterface");SetStrucAlign(id,2);')

比较有趣的是,在IDC中有这么一句:

SetStrucAlign(id,2)

这个SetStrucAlign()方法在IDAPython中并没有,要想调用它,可以使用如下方法:

idc.Eval('SetStrucAlign({},2);'.format(id))

导入完成后,下一步的工作是获取SO中所有的Java_com_xxx_yyy()类型的方法信息,这个好办,代码如下:

addr=get_code_seg() symbols=[] forfunceainFunctions(SegStart(addr)): functionName=GetFunctionName(funcea) symbols.append((functionName,funcea))

symbols现在存放了所有的方法,只需要判断是否以“Java_”开头就能区分native方法了。

接着是读取前面生成的方法签名文件,读取它的所有方法签名信息,这里我使用如下方法:

sig_file=AskFile(0,'*.*','opensigfile')

AskFile()方法会弹出一个文件选择框来让用户选择生成的文件,我觉得这种交互比直接写死文件路径要优雅,虽然这里会让你参与进来,可能会使你烦燥。

我们传入获取到的第一条Java方法签名给上一步的get_jni_sig()方法,来生成对应的JNI方法签名。最后,调用SetType()来设置它的方法签名信息。

至此,所有的工作都完成了。完整的工程见:https://github.com/feicong/jni_helper 。


【技术分享】Android SO自动化逆向探究
【技术分享】Android SO自动化逆向探究 本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4489.html

本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识

主题: JavaAndroid360WindowsAppleLinuxPython数据DULV
tags: gt,id,Java,native,方法,jnitype,java,sig,name,full,AddStrucMember,printget
分页:12
转载请注明
本文标题:【技术分享】Android SO自动化逆向探究
本站链接:http://www.codesec.net/view/565414.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 网络安全 | 评论(0) | 阅读(178)