用Python和Smali模拟器搞定一个加混淆、防篡改的APK逆向

   <p>这个周末我和好友聊天时，他向我求助修改一个他正在编写Python脚本。他试图通过解混淆一个APK，来理解该APK的混淆基址和防篡改保护机制。同我以往的APK逆向过程（dex2jar->jd-gui->done）相比，这是一个很有挑战性同时充满趣味的工作。同时，这个逆向过程我编写了一个我认为比较酷比较独特的工具。</p>    <h2>怪异的字符串</h2>    <p>同其他有过APK反编译工作经验的逆向工作者一样，我已经很习惯程序中的类和名字被ProGuard混淆（或者被DexGuard混淆字符串等），这对我来说不是什么困难。但是当我使用apktool打开这个应用的时候还是大吃一惊：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/9512c2db7cee46d33cf6c0d71a2b970d.jpg"></p>    <p>大部分的类和方法名都是很怪异的字符串，这几乎没法让我使用一个单独的工具或者编辑器来查看这些文件。所以目前最首要的步骤就是修复（坦诚的说应该是从头开始写）Matteo写的python脚本，这个脚本试图重新命名所有的混淆入口，脚本本身工作流程比较简单：</p>    <p>遍历所有名称为不能打印字符的smali文件</p>    <p>使用ClassXXX替代混淆的类名字（XXX是一个自增的数字）</p>    <p>重命名文件</p>    <p>查找所有引用这些类的地方并使用新的名称替代(正则匹配)</p>    <p>在.field文件夹（类变量，方法等）中重复这个操作</p>    <p>这个过程结束之后，最终获得了一个可以浏览的文件夹和可读的smali文件：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/d042935bf36b7c9857ef543f53a4cc47.jpg"></p>    <p>但是这离完成还有很远的距离。</p>    <h2>反篡改</h2>    <p>在我继续进行之前，我先需要指出两点，以便你能够理解我这么做背后的理由：</p>    <p>1. 这个应用使用了很奇怪的反篡改（很大可能是反调试之类的措施）保护，因此，使用注入代码的方式将smali代码重新打包成APK是不可行的，同样调试也是不行的</p>    <p>2. 这样的保护措施不仅阻止了代码注入/修改，同时也会在检测到这种篡改后卸载软件</p>    <p>所以代码注入（XPosed也不行）、调试都无法使用，基本我通常的标准逆向方式都无法使用。</p>    <h2>加密字符串</h2>    <p>作为一个懒惰（或者说是聪明）的逆向者，我不想先去理解其中的逻辑，相反，我试图发现那些能够给我一些提示的、有意义的字符串，帮助我发现这个app在做些什么，但是我再次被震惊到了。</p>    <p>所有的字符串都进过了传统的加密算法加密，基本上所有引用字符串的地方都被如下的方式进行了替换：</p>    <p>Stringdecrypted = Class623 :: method5 (new int []{-12, 44,-35,…}, 52);  </p>    <p>函数的参数仅仅是一个整形数组和其他的一些数字作为第二个参数（或许是某种形式的密钥？）</p>    <p>通常我遇到这种情况的做法是：</p>    <p>1. 反编译APK到Java(使用dex2jar+jd-gui或者仅仅是jadx)</p>    <p>2. 获取到解密的java代码，并将其粘贴到一个独立的java控制台</p>    <p>3. 对加密的东西执行解密例程从而获得明文结果</p>    <p>然而。。。任何工具都无法正确的将Class623::method5 的smali代码转换成</p>    <p>java代码，这些工具获得的输出都是无意义的东西，不起作用。但是目前我并不是很擅长阅读smali代码（这个解密程序本身也十分复杂，至少对我来说很复杂）…但是我不能就这么放弃。</p>    <h2>所有的都让Smali模拟器来搞定吧</h2>    <p>我当然可以利用Class623::method5的smali代码，创建一个新的安卓APP，然后使用apktool反编译，在这个方法的输出中注入代码，插入一个调用该函数代码的调用到app中，重新构建这个app并且运行它。但是：</p>    <p>1. 同样，我是一个懒惰的人</p>    <p>2. 这个实现方式并不优雅</p>    <p>3. 我头脑里闪现出一个很酷的想法，我必须尝试一下！</p>    <p>长话短说，我要做的是：“写一个smali解析器和模拟器，然后加载这个函数例程，最终它将输出所有我需要的明文！”。</p>    <p>于是我开始阅读Dalvik操作码说明，整合了一些代码，经过几个小时，我完成了这个简单的pyhon 脚本用于测试：</p>    <p>from smali . emulator import Emulator</p>    <p>emu = Emulator ()</p>    <p># The smali file to emulate.</p>    <p>filename ='decryptor.smali'  </p>    <p># Arguments for the method.</p>    <p>args ={  </p>    <p>'p0':(-62,-99,-106,-125,-123,-105,-98,-37,-105,-97,-103,-41,-118,-97,-113,-103,-109,-104,-115,111,98,103,35,52),</p>    <p>'p1':19</p>    <p>}</p>    <p>ret = emu . run ( filename , args )</p>    <p>print emu . stats</p>    <p>print"RESULT:\n"</p>    <p>print"'%s'"% ret </p>    <p>而且，运行结果如下：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/9b12ad4483111e86aedd1ea993593b6a.jpg"></p>    <p>成功了！</p>    <p>我对所有的加密字符串执行该脚本，模拟器也能正确的解析和执行解密例程的smali代码，并解密所有我从反编译程序中抽取的每一个条目。从现在开始，所有的工作就是使用明文替换所有的加密条目，从而这个逆向过程易如反掌。</p>    <p>via： <a href="/misc/goto?guid=4959673047884518216" rel="nofollow">http://www.freebuf.com/articles/web/103980.html</a></p>