源:http://blog.csdn.net/justfwd/article/details/45219895
这篇文章纯粹属于安全分析研究,请勿用于非法用途。如有侵犯到厂家,请告知作者删除
12306Android客户端每个请求包都会带个baseDTO.check_code(如下图)作为数据包安全及完整性校验码,这个校验码由libcheckcode.so生成
如果需要模拟购买火车票的过程,就要调用这个libcheckcode.so,不过这个SO使用dlopen无法加载。其ELF头,如下图所示,红框内表示ProgramHeader,里面的内容不符合elf格式规范
那它是如何加载起来的呢,猜测是借助了其它SO做了解密,下图列出lib/armeabi里的SO
分析后确定解密的工作是由libDexHelper.so来做的。 libDexHelper.so是最先加载的so,application调用的时候就加载了这个SO
libDexHelper.so自身做了加壳,这个壳不用花心思去脱,等它加载起来后,整个SO DUMP出来,将内存文件对齐修正一下就可以用IDA分析了
libDexHelper.so带有JNI_OnLoad,它会调用一个JNI_ALIYUN_ONLOAD函数
从函数名字上看,这个安全方案应该是由阿里云来做的
JNI_ALIYUN_ONLOAD内会做如下HOOK动作
也就是HOOK了dlopen,dlsym,_read,_open,mmap2五个函数,当加载libcheckcode.so的时候,会调用这五个函数,调用流程如下:
先调用dlopen,这里网上借个dlopen的调用流程图
这里的load_library会先调用_open打开文件,然后调用_read,再然后调用mmap2,将文件映射到内存
mmap2的hook过滤函数,当发现是libcheckcode.so文件时,会进行解密。
实际的解密代码,F5后,发下图所示:
是不是比较乱,它把跳转和循环改成了while switch方式,让人看得很纠结,所有长一点的函数都是这个样子。
等mmap2全部调用完了,把libcheckcode.so的内存DUMP出来,header如下图所示
已经变得正常了,这个文件直接IDA分析是没有结果的,需要将header里的文件偏移改成内存偏移,因为mmap已经将文件内容按内存对齐方式来存放了。
做一下对齐的修复,这个SO就可以用dlopen正常调用了。那么是不是大功告成了呢,我们写个12306的demo来调用这个so.
按MobileTicket逆向出来的代码描一个下面的类:
发现调用会CRASH,CRASH的偏移地址是1438a4,用IDA看下这段代码,这个地址就是checkcode的首地址
为什么会这样?回想一下,dlopen完了,还会调用初始化函数init_proc,IDA看下导出函数,确实存在一个叫.init_proc的函数
可以确定这里的init_proc就是壳代码,它还会继续对so进行解密,解密完了,这里才会有代码。
但是解密完了,这里运行仍然会出错。
什么原因呢?还有一个dlsym的HOOK函数没看
这个代码看得还是挺纠结的,就从它的return值往前推吧,基本可以确定它会返回wrapHook返回的内存地址。那就HOOK wrapHook,看它返回什么内容。
把wrapHook返回的内存块DUMP出来,用IDA分析
图上已经对这段代码做了标注。分析过程比较啰嗦,这里直接讲下结果吧。
dlsym的HOOK函数 功能:
如果要获取的函数名是Java_com_MobileTicket_CheckCodeUtil_checkcode,就调用wrapHook函数,返回wrapHook的返回值做为这个函数的地址。
wrapHook返回的代码段对Java_com_MobileTicket_CheckCodeUtil_checkcode函数重新做了一下包装,先调用so_prefix_wrap对Java_com_MobileTicket_CheckCodeUtil_checkcode函数进行解密,然后调用真实函数,调用完了再用so_postfix_wrap加密回去。
这里还有个细节要注意一下,这里的真实函数地址0x7bad6865是865结尾的,而我们的Java_com_MobileTicket_CheckCodeUtil_checkcode导出函数是以8a4结尾的,除了表示指令集不一样以外,同时指向的地址也是不一样的。
整理一下这个libcheckcode.so的加密方式,解密出来需要经过三个过程,先是mmap2解密,然后init_proc脱壳解密,最后调用checkcode函数的时候,还要运行时解密。
也就是说壳代码运行完后,checkcode还是处于加密状态,要使得libcheckcode.so能正常运行,init_proc之后还需要一次执行机会
怎么提供这个执行机会呢,想到两个办法,一个是patch init_proc函数,使其执行完后再执行一段解密代码,还有一个办法是增加init_array
上图是dlopen里的一个代码片断,可以看到,init_func执行完后,还会再执行init_array指向的函数阵列。
patch代码不太好玩,这里选择增加init_array的办法
从下图可以看到,这个SO本身存在一个大小4的init_array,可以放一个函数地址
但是指向的地址是0
只要在164dd8放一个地址就可以了。
不过还有个问题,init_array指向的函数地址阵列是需要重定向的,还需要在重定向表里,把这个地址给加上
查看重定向表,发现重定向表的后面已经填上了其它结构的数据,并无空间来扩展。
那就只有整体搬家了。
这是dynamicsection解析到的重定位表的偏移0x1dc4和大小0x130
将这里的0x1dc4改成其它偏移,就可以对它进行搬家了,大小可根据需要扩大
要搬到哪里去呢,armelf文件的结构比较紧凑,难以在原有文件上找到空间,只有另外扩充空间了
从上图可以看到,第2个programtable只是用来指示dynamic section,第1个program table占据文件的后半部分,只要把扩充的内容放到文件末尾,然后相应增加FileSize和MemSize两个就可以
扩充完了,把重定位表搬过去,并增加四字节大小
重定位表搬完了,init_array里的函数地址指向哪里呢。这个函数用来对checkcode函数进行解密。
要怎么去解密呢,逆向算法成本比较高,就直接把so_prefix_wrap运行后解出来的内存直接copy到原位置好了。把要拷贝的源和拷贝函数都放到第1节扩充的空间里去。
用C语言写个拷贝内存的代码,编译后,把那段拷贝函数,填到init_array函数指向的地址,再做一些必要的修改,让它可以正常运行。
最后一步把第1节的Flag加上可执行属性,改成跟第0节一样,都为RWX就行了。
至此,libcheckcode.so可以单独运行,不再需要借助libDexHelper.so的解密。
