一、目標

之前我們已經用unidbg跑通了libencrypt.so，那么如何判斷跑出來的結果是對是錯？再如何糾正unidbg跑錯誤的流程，是我們今天的目標。

v6.1.0

二、步驟

找到明顯的接口來判斷

checkcode是加密，加密的結果確實不好判斷是否正確。不過我們可以試試解密，能解密就是對的，簡單粗暴。這里解密函數是 decheckcode 。

public void callB() {
    String strA = "FlK6XicivmCwPSE3sk6b71m9WbWd/gYZtlajqGXhEXXjmWEZziR51rVWSEDwUUi4UN9RnoCGbLNmqI80Fiog4Sw==";
    String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";
    DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);
    String strOut = (String)ret.getValue();
    System.out.println("call decheckcode: " + strOut);
}

跑一下，這個結果明顯不對，死心了

call decheckcode: fac34ffa581987c7a1ffa5b876ca96ce

分析問題

結果不對，肯定是過程不對。

那么解決方案就是 分析對比unidbg運行的流程和app運行的流程 有哪里有不同?

對比運行流程有三個粒度， 函數、代碼塊和代碼。 (在ida里按空格，出現的流程圖中的每個塊就是代碼塊)

我們今天主要要對比 decheckcode函數，所以先從代碼塊的粒度來做Trace。

Trace Block

unidbg提供一個BlockHook，每運行到一個代碼塊就觸發這Hook，我們就利用他來做Trace Block

// 保存需要用frida Hook的Block的地址
public static Map<Integer, Integer> subTraceMap = new HashMap<Integer, Integer>();
// 保存命中的Block地址的次數，命中次數太多的就忽略掉。
public static Map<Integer, Integer> calcMap = new HashMap<Integer, Integer>();

// 入參是so基地址，   需要Trace代碼的開始地址和結束地址
private void traceBlock(final long baseAddr, final long starAddr, final long endAddr) {
    emulator.getBackend().hook_add_new(new BlockHook() {
        @Override
        public void hookBlock(Backend backend, long address, int size, Object user) {
            // 代碼塊需要大于20個字節，  塊太小 影響 frida的 hook
            if (size > 20) {
                Instruction[] insns = emulator.disassemble(address, 4, 0);

                int iSize = insns[0].getSize();
                int iUseAddr = 0;

                if (iSize == 4) {
                    // ARM模式 4字節
                    iUseAddr = (int) (address - baseAddr);
                } else {
                    // THUMB模式 2 字節 ，hook的時候 + 1 ，
                    iUseAddr = (int) (address - baseAddr) + 1;
                }

                if (calcMap.containsKey(iUseAddr)) {
                // 保存命中次數
                    int iValue = calcMap.get(iUseAddr);
                    calcMap.put(iUseAddr, iValue + 1);

                    // 4次以上的調用就不顯示了, 也不用frida Trace了
                    if (iValue > 3) {
                        subTraceMap.remove(iUseAddr);
                    } else {
                        System.out.println("  " + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");
                    }

                } else {
                    calcMap.put(iUseAddr, 1);
                    subTraceMap.put(iUseAddr, 1);

                    System.out.println("  " + "sub_" + Integer.toHexString((int) (address - baseAddr)) + " ");
                }
            }
        }

        @Override
        public void onAttach(UnHook unHook) {

        }

        @Override
        public void detach() {

        }

    }, starAddr, endAddr, 0);

}

Trace Block結束之后，把命中的代碼塊地址都打印出來，用于在Frida中去hook

public void PrintHookSubInfo(){
    System.out.println("subTrace len = " + subTraceMap.size());
    String strOut = "";
    for (Map.Entry<Integer, Integer> entry : subTraceMap.entrySet()) {
        int iShow = entry.getKey();
        // 為了和unidbg顯示一致這里處理下
        if(iShow % 2 != 0){
            iShow = iShow -1;
        }
        strOut = strOut + "  ,['sub_" + Integer.toHexString(iShow ) + "','0x" + Integer.toHexString((int)entry.getKey() ) + "']";
    }
    System.out.println(strOut);
}

有了這兩個函數就可以干活了

public void callB() {
    traceBlock(module.base,module.base,module.base  + module.size);
  ...
        String methodName = "decheckcode(Ljava/lang/String;)Ljava/lang/String;";
        DvmObject ret = dvmClass.callStaticJniMethodObject(emulator, methodName,strA);
  ...
    PrintHookSubInfo();
}

在執行 decheckcode 之前去做Trace， 執行之后去打印所有命中的Block地址。

Tip:

這個樣本沒那么復雜，所以就直接Trace所有代碼范圍，講究人是需要縮小范圍，只Trace自己感興趣的部分。

Find native function Java_com_bangcle_comapiprotect_CheckCodeUtil_decheckcode => RX@0x4002b1bc[libencrypt.so]0x2b1bc
  sub_2b1bc
  sub_2b20c
  sub_2b238
  sub_2b254
  sub_2b270
  sub_2b28c
  sub_2b2a8
  sub_2b2c4
  sub_2b2e0
  sub_2b2fc
  sub_2b318
  sub_2b334
    ...

subTrace len = 127
  ,['sub_21400','0x21400']  ,['sub_21c00','0x21c00']  ,['sub_22200','0x22200']  ,['sub_2b604','0x2b604']  ...

Trace的結果出來了，命中的地址列表也打印出來了，一共命中了127個地址塊。

frida Hook 對比

把命中的地址列表導入到frida里面去hook，然后就可以對比出來 unidbg跑的流程和App跑的流程的差別了。

function hook_suspected_function(targetSo) {
    const funcs = [
        ['sub_21400','0x21400']  ,['sub_21c00','0x21c00']  ,['sub_  ...
          ];

    for (var i in funcs) {
        let relativePtr = funcs[i][1];
        let funcPtr = targetSo.add(relativePtr);
        let describe = funcs[i][0];
        let handler = (function() {
            return function(args) {
                // console.log("\n");
                console.log(TAG + describe);
            };
        })();
        Interceptor.attach(funcPtr, {onEnter: handler});
    }
}


function traceNative() {
    var targetSo = Module.findBaseAddress('libencrypt.so');
    console.log(TAG +" Trace ############# libencrypt.so: " +targetSo);
    hook_suspected_function(targetSo);
}

// 然后在hook  decheckcode的時候打印Trace結果
Interceptor.attach(targetSo.add(0x2B1BC ),{
    onEnter: function(args){
        traceNative();

        var strCls = Java.use('java.lang.String');

        var strA = Java.cast(this.context.x2, strCls);
        console.log(TAG + "-------- decheckcode a = " + strA);

    },
    onLeave: function(retval){
        var strCls = Java.use('java.lang.String');
        var strRc = Java.cast(retval, strCls);
        console.log(TAG + "-------- decheckcode rc = " + strRc);

    }
});

對比結果

對比的方法比較low，先把unidbg Trace Block的結果復制到文本文件1，然后把frida hook打印的結果復制到文本文件2。 最后開啟 Beyond Compare 來對比

cmp.png

1:cmp

過程雖然很low，但是結果可一點都不low，從對比的結果看，大家之前都是好朋友，不過 sub_18650 之后就開始分道揚鑣了。

這時候就需要問問ida了。

fopen.png

1:fopen

這里fopen了一個文件，文件名是做了base64。

base64誰不會呢，隨便寫兩行代碼就可以解出來了 /proc/%d/cmdline

這又在考我們的android編程知識了，問了下谷哥，哥說了，這是在讀進程名，對于apk來說，進程名就是他的包名。

回想在 unidbg中 有個不起眼的報錯

[11:26:48 927]  INFO [com.github.unidbg.linux.ARM64SyscallHandler] (ARM64SyscallHandler:1309) - openat dirfd=-100, pathname=/proc/2256/cmdline, oflags=0x0, mode=0

這也是在提醒我們，讀取進程名失敗了。

重定向io

unidbg是支持這種情況的，先讓 CaranywhereDemo 多繼承一個 IOResolver 來做io重定向

public class CaranywhereDemo  extends AbstractJni implements IOResolver<AndroidFileIO> {
    ...

    public Caranywhere(String apkFilePath) throws DecoderException, IOException {
      ...
            emulator.getSyscallHandler().addIOResolver(this);
      ...
    }

    FileResult<AndroidFileIO> f1;

    public FileResult<AndroidFileIO> getF1(String pathname, int oflags) {
        if (f1 == null) {
            f1 = FileResult.<AndroidFileIO>success(new ByteArrayFileIO(oflags, pathname, "com.xxx.aeri.caranywhere".getBytes()));
        }
        System.out.println("new f1==" + pathname + "===" + vm.getPackageName());
        return f1;
    }

    @Override
    public FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {
        System.out.println(pathname);
        if ("/proc/self/cmdline".equals(pathname) || ("/proc/" + emulator.getPid() + "/cmdline").equals(pathname)) {
                        return getF1(pathname, oflags);
        }

        return null;
    }
}

ok了，這幾步又和App跑的一樣了，大家又是好朋友了。

不過問題還是沒有解決，跑出來的結果還是不對，木有解密成功。而且貌似這個app還有坑，hook點一多就擺爛，直接崩潰。

得找新武器對付它了，期待下一章的大結局吧。

三、總結

何以解憂，唯有Trace。

能下斷點Debug的App，一定就逃不出手心了。所以現在App的關注點都是抵抗Debug，抵抗下斷點。

結果不對，就和正確的結果去對比流程，跑的和你一模一樣，總沒毛病吧？

ffshow.jpeg

1:ffshow

凡說之難 在知所說之心 可以吾說當之