【技术分享】Android App常见逆向工具和使用技巧
前言
本文将主要介绍个人在Android App逆向分析时常用到的一些工具和小技巧。说起Android 逆向,就不得不提到常用的逆向分析神器了,IDA,jadx,Android Killer,JEB。
常用工具介绍
jadx是一款非常不错的apk反编译工具,可以直接将apk转换成java源码,代码还原度高,且支持交叉索引等等,以一款开源工具为例,反编译后结构图
代码显示效果:
排除混淆的影响外,整体看来代码的显示效果基本是跟原工程一样的,非常有逻辑感,右键还可以查看方法和变量的引用,但是jadx的缺点也很多,速度较慢,且不支持变量,方法重命名等等,在针对混淆代码分析时有些力不从心,这里就推荐另一款工具JEB。
JEB是一款非常不错的Android逆向分析工具,新版的JEB也已经支持了app动态调试,但由于不稳定性,暂时还不推荐使用,本文使用版本1.5,由于大部分人都接触过JEB,也知道JEB的常见特性,本文就主要讲解JEB的另一个功能,脚本功能,示例app为RE管理器。反编译后可以看到:
方法中多数字符串已经被转换成了byte数组,这在逆向分析时会比较头大,为了解决这一问题,我们可以尝试写个脚本来还原这些字符串,打开idea,新建一个java工程,导入jeb.jar(该文件在JEB目录下可以找到),第一步,需要知道JEB需要遍历的方法是什么,这里调用了new String方法将byte数组转换成string,那这里就需要匹配new String这个方法,如下
接下来需要让JEB枚举所有方法
这里主要就是利用JEB的插件功能枚举所有引用到该签名的方法,好处就是节省后面匹配替换的时间,找到关键处后自然就开始替换和解密操作了。
这里主要就是遍历和迭代所有方法中的元素,取到元素后首先需要进行过滤,因为是new String,所以需要判断当前类型是否为New,是的话再去匹配签名值是否跟上面设置的一致,当匹配成功后就可以在元素中取值了,取到值后还需要进行相应的处理,将类型转换成我们需要的byte数组,今后再进行解密和替换,整体逻辑和实现并不复杂,上面的截图也都做了详细的备注,丢张处理后的截图:
这样分析起来就轻松多了,当然这里只是简单的举了个new String的例子,同样该脚本稍作修改可以解密如des,aes,base64等加密编码操作。
当然说到逆向工程,不得不提的工具当然是IDA,作为一个适应多种平台的逆向分析工具,在安卓上的使用率也非常高,强大的反汇编功能以及F5转伪C代码功能都给分析者提供了便捷,下面以某个CrackeMe演示:
常见的native方法有静态注册和动态注册两种形式,静态注册均已java开头,以类的路径命名,所以可以很轻松的找到,双击该方法即可来到汇编代码处,F5后发现代码丢失了很多,如下图:
在汇编代码状态下按下空格键即可切换至流程图,如下:
发现该方法被识别出了两个入口点,从而导致很多代码未被识别到,找到第一个分支的结束地方
选择菜单栏的Edit->function->removefunction tail,之后在修改过后的地方点击菜单栏Edit->other->forceBL call 即可,之后再此F5即可正常显示所有代码
而动态注册方法较静态注册在寻找关键点时稍加麻烦一点,而动态注册势必会在jni_Onload中去处理这些函数,以某so为例,F5后代码如下
这里会看到很多的偏移地址,其实是指针在jniEnv中的相对位置,此时可以通过导入jni头文件来自动识别,在网上可以很容易下载到这个文件,导入后右键Convert to Struct后代码如下:
这里已经看的很清晰了,调用了RegisterNatives方法注册了两个方法,off_8004则是记录了该方法的偏移地址,双击进入:
这里已经看到了两个方法对应的内容,_Z10verifySignP7_JNIENVP8_jobect和_Z13getentyStringv,双击即可跳转到该方法中,当然这些对于ida来说根本都是基础功能,而且新版本的IDA支持直接对字节码进行patch,无需像之前一样记录修改地址,使用16进制编辑器对字节码进行修改,示例如下:
在000025C6处我调用了一个检测当前是否处于调试状态的方法,如果程序被调试器连接上,则会自动崩溃,而readStatus是个void方法,本身不带参数和返回值,思路很简单,nop掉该方法再重新打包即可正常调试,选择菜单栏上的Options->General
此处将0改为4即可
此时每条指令对应的机器码已经显示出来,可以看到readStatus是个arm指令,修改方法很简单,常见的nop方法可以使用全0替换机器码
点击到修改指令后选择菜单栏的Edit->patch program->changebyte,修改前4个字节为00 00 00 00即可,效果如下:
可以看到反调试方法已经被清除掉了,那么如何保存修改后的文件呢,也很简单,点击菜单栏的Edit->patchprogram->Apply patches to Input file,直接点击ok即可,当然ida的小技巧还有很多,比如在动态调试时改变android_server的默认端口即可过滤掉反调试对端口23946的检测,命令为-p123 ,123为端口号,记得-p和端口号之间是没有空格的。
最后要介绍的就是Android Killer了,ak是一款不错的apk反编译集成工具,有良好的smali显示效果和编辑功能
当然作为一个反编译工具,这些都是最基本的功能,ak有一项强大的功能是代码插入,可以对代码进行稍加的封装,即可实现快速插入代码,比如个人实现的log插桩插件,是在开源项目LogUtils的基础上转换成了smali插件,支持一键输出任意基本类型的数据以及json,Intent等数据类型,使用方式也很简单,右键选择插入代码即可
代码就1句话,其中p0是需要打印的寄存器,在静态方法中p0代表是是第一个入参,在逆向工程上,代码插桩可以很好的帮助我们进行数据的分析,这些插件我都发布到了网络上,都可以下载到。
总结
本文主要介绍了Android App逆向时常用的工具和他们的一些使用小技巧,但逆向单靠一样工具和常见的技巧往往还是不够的,需要大家的尝试和耐心以及自身对逆向的钻研精神。