隨著移動安全越來越火,各種調試工具也都層出不窮,但因為環境和需求的不同,并沒有工具是萬能的。另外工具是死的,人是活的,如果能搞懂工具的原理再結合上自身的經驗,你也可以創造出屬于自己的調試武器。因此,筆者將會在這一系列文章中分享一些自己經常用或原創的調試工具以及手段,希望能對國內移動安全的研究起到一些催化劑的作用。
目錄如下:
安卓動態調試七種武器之長生劍 - Smali Instrumentation
安卓動態調試七種武器之離別鉤 - Hooking
安卓動態調試七種武器之碧玉刀 - Customized DVM
安卓動態調試七種武器之多情環 - Customized Kernel
安卓動態調試七種武器之霸王槍 - Anti Anti-debugging
安卓動態調試七種武器之拳頭 - Tricks & Summary
長生劍是把神奇的劍,為白玉京所配,劍名取意來自于李白的詩:“仙人撫我頂,結發受長生。”長生劍是七種武器系列的第一種武器,而筆者接下來所要介紹的調試方法也是我最早學習的調試方法,并且這種方法就像長生劍一樣,簡單并一直都有很好的效果。這種方法就是Smali Instrumentation,又稱Smali 插樁。使用這種方法最大的好處就是不需要對手機進行root,不需要指定android的版本,如果結合一些tricks的話還會有意想不到的效果。
做安卓逆向最先接觸到的東西肯定就是smali語言了,smali最早是由Jasmin提出,隨后jesusfreke開發了最有名的smali和baksmali工具將其發揚光大,幾乎dex上所有的靜態分析工具都是在這個項目的基礎上建立的。什么?你沒聽說過smali和baksmali?你只用過Apktool?如果你仔細閱讀了Apktool官網的說明你就會發現,Apktool其實只是一個將各種工具結合起來的懶人工具而已。并且筆者建議從現在起就拋棄Apktool吧。原因如下:首先,Apktool更新并沒有smali/baksmali頻繁,smali/baksmali更新后要過非長久的時間才會合并到Apktool中,在這之前你可能需要忍受很多詭異的bug。其次,Apktool在反編譯或者重打包dex的時候,如果發生錯誤,僅僅只會提供錯誤的exception信息而已,但如果你使用smali/baksmali,工具會告訴你具體的出錯原因,會對重打包后的調試有巨大的幫助。最后,很多apk為了對付反調試會在資源文件中加入很多junk code從而使得Apktool的解析崩潰掉,造成反編譯失敗或者無法重打包。但如果你僅對classes.dex操作就不會有這些問題了。
學習smali最好的方法就是自己先用java寫好程序,再用baksmali轉換成smali語句,然后對照學習。比如下面就是java代碼和用baksmali反編譯過后的smali文件的對照分析。
MZLog類主要是用Log.d()輸出調試信息,Java代碼如下:
#!java
package com.mzheng;
public class MZLog {
public static void Log(String tag, String msg)
{
Log.d(tag, msg);
}
public static void Log(Object someObj)
{
Log("mzheng", someObj.toString());
}
public static void Log(Object[] someObj)
{
Log("mzheng",Arrays.toString(someObj));
}
}
對應的smali代碼如下:
#!bash
.class public Lcom/mzheng/MZLog; # class的名字
.super Ljava/lang/Object; #這個類繼承的對象
.source "MZLog.java" # java的文件名
# direct methods #直接方法
.method public constructor <init>()V #這是class的構造函數實現
.registers 1 #這個方法所使用的寄存器數量
.prologue # prologue并沒有什么用
.line 7 #行號
invoke-direct {p0}, Ljava/lang/Object;-><init>()V #調用Object的構造方法,p0相當于"this" 指針
return-void #返回空
.end method
.method public static Log(Ljava/lang/Object;)V # Log(Object)的方法實現
.registers 3
.param p0, "someObj" # Ljava/lang/Object; 參數信息
.prologue
.line 16
const-string v0, "mzheng" #給v0賦值”mzheng”
invoke-virtual {p0}, Ljava/lang/Object;->toString()Ljava/lang/String; #調用toString()函數
move-result-object v1 #將toString()的結果保存在v1
invoke-static {v0, v1}, Lcom/mzheng/MZLog;->Log(Ljava/lang/String;Ljava/lang/String;)V #調用MZLog的另一個Log函數,參數是v0和v1
.line 17
return-void
.end method
.method public static Log(Ljava/lang/String;Ljava/lang/String;)V #Log(String, String)的方法實現
.registers 2
.param p0, "tag" # Ljava/lang/String;
.param p1, "msg" # Ljava/lang/String;
.prologue
.line 11
invoke-static {p0, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #調用android API里的Log函數實現Log功能
.line 12
return-void
.end method
.method public static Log([Ljava/lang/Object;)V #Log(Object[])函數實現 ‘[’符號是數組的意思
.registers 3
.param p0, "someObj" # [Ljava/lang/Object;
.prologue
.line 21
const-string v0, "mzheng"
invoke-static {p0}, Ljava/util/Arrays;->toString([Ljava/lang/Object;)Ljava/lang/String; #將Object數組轉換為String
move-result-object v1 #轉換后的結果存在v1中
invoke-static {v0, v1}, Lcom/mzheng/MZLog;->Log(Ljava/lang/String;Ljava/lang/String;)V #調用Log(String, String)函數
.line 22
return-void
.end method
最后簡單介紹一下smali常用的數據類型:
V - void
Z - boolean
B - byte
S - short
C - char
I - int
J - long (64 bits)
F - float
D - double (64 bits)
如果僅僅用Smali來分析代碼,效果其實不如用dex2jar和jd-gui更直觀,畢竟看反編譯的java代碼要更容易一些。但Smali強大之處就是可以隨心所欲的進行插樁操作。何為插樁,引用一下wiki的解釋:程序插樁,最早是由J.C. Huang 教授提出的,它是在保證被測程序原有邏輯完整性的基礎上在程序中插入一些探針(又稱為“探測儀”),通過探針的執行并拋出程序運行的特征數據,通過對這些數據的分析,可以獲得程序的控制流和數據流信息,進而得到邏輯覆蓋等動態信息,從而實現測試目的的方法。下面我就來結合一個例子來講解一下何如進行smali插樁。
測試程序是一個簡單的crackme (圖1)。輸入密碼,然后點擊check,如果密碼正確會輸出yes,否則輸出no。
圖1 Crackme1的界面
首先我們對crackme這個apk進行解壓,然后反編譯。我們會在MainActivity中看到一個getkey(String,int)函數。這個函數貌似非常復雜,我們暫時不管。我們首先分析一下點下button后的邏輯。我們發現程序會通過getkey("mrkxqcroxqtskx",42)來計算出真正的密碼,然后與我們輸人的密碼進行比較,java代碼如下:
#!java
public void onClick(View arg0) {
String str = editText0.getText().toString();
if (str.equals(getkey("mrkxqcroxqtskx",42)))
{
Toast.makeText(MainActivity.this,"Yes!", Toast.LENGTH_LONG).show();
}
else
{
Toast.makeText(MainActivity.this,"No!", Toast.LENGTH_LONG).show(); }
}
這時候就是smali插樁大顯身手的時候了,我們可以通過插樁直接獲取getkey("mrkxqcroxqtskx",42)這個函數的返回值,然后Log出來。這樣我們就不需要研究getkey這個函數的實現了。具體過程如下:
1 首先解壓apk然后用baksmali進行反編譯。
#!bash
unzip crackme1.apk
java -jar baksmali-2.0.3.jar classes.dex
2 將上一節MZLog類的MZLog.smali文件拷貝到com/mzheng目錄下,這個文件有3個LOG函數,分別可以輸出String的值,Object的值和Object數組的值。注意,如果原程序中沒有com/mzheng這個目錄,你需要自己用mkdir創建一下。拷貝完后,目錄結構如下:
com
└─mzheng
│ MZLog.smali
│
└─crackme1
BuildConfig.smali
MainActivity$1.smali
MainActivity.smali
R$attr.smali
R$dimen.smali
R$drawable.smali
R$id.smali
R$layout.smali
R$menu.smali
R$string.smali
R$style.smali
R.smali
3 用文本編輯器打開MainActivity$1.smali文件進行插樁。為什么是MainActivity$1.smali而不是MainActivity.smali呢?因為主要的判斷邏輯是在OnClickListener這個類里,而這個類是MainActivity的一個內部類,同時我們在實現的時候也沒有給這個類聲明具體的名字,所以這個類用$1表示。加入MZLog.smali這個文件后,我們只需要在MainActivity$1.smali的第71行后面加上一行代碼,invoke-static {v1}, Lcom/mzheng/MZLog;->Log(Ljava/lang/Object;)V,就可以輸出getkey的值了。Invoke是方法調用的指令,因為我們要調用的類是靜態方法,所以使用invoke-static。如果是非靜態方法的話,第一個參數應該是該方法的實例,然后依次是各個參數。具體插入情況如下:
const-string v1, "mrkxqcroxqtskx"
const/16 v2, 0x2a
# invokes: Lcom/mzheng/crackme1/MainActivity;->getkey(Ljava/lang/String;I)Ljava/lang/String;
invoke-static {v1, v2}, Lcom/mzheng/crackme1/MainActivity;->access$0(Ljava/lang/String;I)Ljava/lang/String;
move-result-object v1
############################## begin ##############################
invoke-static {v1}, Lcom/mzheng/MZLog;->Log(Ljava/lang/Object;)V
############################## end ###############################
invoke-virtual {v0, v1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z
move-result v1
4 用smali.jar重新編譯修改后的smali文件,把新編譯的classes.dex覆蓋老的classes.dex,然后再用signapk.jar對apk進行簽名。幾條關鍵指令如下:
#!bash
java -jar smali.jar out
java -jar signapk.jar testkey.x509.pem testkey.pk8 update.apk update_signed.apk
5 安裝程序到android,隨便輸入點啥,然后點擊check按鈕,隨后在logcat中就可以看到getkey("mrkxqcroxqtskx",42)這個函數的返回值了(圖2)。
圖2 通過logcat獲取getkey的返回值
通過Smali/baksmali工具,我們不光可以插樁,還可以修改apk的邏輯。幾個需要注意點如下:
1. if條件判斷以及跳轉語句
在smali中最常見的就是if這個條件判斷跳轉語句了,這個判斷一共有12條指令:
#!bash
if-eq vA, VB, cond_** 如果vA等于vB則跳轉到cond_**。相當于if (vA==vB)
if-ne vA, VB, cond_** 如果vA不等于vB則跳轉到cond_**。相當于if (vA!=vB)
if-lt vA, VB, cond_** 如果vA小于vB則跳轉到cond_**。相當于if (vA<vB)
if-le vA, VB, cond_** 如果vA小于等于vB則跳轉到cond_**。相當于if (vA<=vB)
if-gt vA, VB, cond_** 如果vA大于vB則跳轉到cond_**。相當于if (vA>vB)
if-ge vA, VB, cond_** 如果vA大于等于vB則跳轉到cond_**。相當于if (vA>=vB)
if-eqz vA, :cond_** 如果vA等于0則跳轉到:cond_** 相當于if (VA==0)
if-nez vA, :cond_** 如果vA不等于0則跳轉到:cond_**相當于if (VA!=0)
if-ltz vA, :cond_** 如果vA小于0則跳轉到:cond_**相當于if (VA<0)
if-lez vA, :cond_** 如果vA小于等于0則跳轉到:cond_**相當于if (VA<=0)
if-gtz vA, :cond_** 如果vA大于0則跳轉到:cond_**相當于if (VA>0)
if-gez vA, :cond_** 如果vA大于等于0則跳轉到:cond_**相當于if (VA>=0)
比如我們在crackme1里判斷密碼是否正確的smali代碼段:
#!bash
invoke-virtual {v0, v1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z
move-result v1
if-eqz v1, :cond_25 # if (v1==0)
iget-object v1, p0, Lcom/mzheng/crackme1/MainActivity$1;->this$0:Lcom/mzheng/crackme1/MainActivity;
const-string v2, "Yes!"
invoke-static {v1, v2, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v1
invoke-virtual {v1}, Landroid/widget/Toast;->show()V
:cond_25
iget-object v1, p0, Lcom/mzheng/crackme1/MainActivity$1;->this$0:Lcom/mzheng/crackme1/MainActivity;
const-string v2, "No!"
invoke-static {v1, v2, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v1
invoke-virtual {v1}, Landroid/widget/Toast;->show()V
如果我們不關心密碼內容,只是希望程序輸出”yes”的話。我們可以把if-eqz v1, :cond_25改成if-nez v1, :cond_25。這樣邏輯就變為:當輸錯密碼的時候,程序反而會輸出”yes”。
2. 寄存器問題
修改Smali時有一件很重要的事情就是要注意寄存器。如果亂用寄存器的話可能會導致程序崩潰。每個方法開頭聲明了registers的數量,這個數量是參數和本地變量總和。參數統一用P表示。如果是非靜態方法p0代表this,p1-pN代表各個參數。如果是靜態方法的話,p0-pN代表各個參數。本地變量統一用v表示。如果想要增加的新的本地變量,需要在方法開頭的registers數量上增加相應的數值。
比如下面這個方法:
#!bash
.method public constructor <init>()V
.registers 1
.prologue
.line 7
invoke-direct {p0}, Ljava/lang/Object;-><init>()V
return-void
.end method
因為這不是靜態方法,所以p0代表this。如果想要增加一個新的本地變量,比如v0。就需要把.registers 1改為.registers 2。
3. 給原程序增加大量邏輯的辦法
我非常不建議在程序原有的方法上增加大量邏輯,這樣可能會出現很多寄存器方面的錯誤導致編譯失敗。比較好的方法是:把想要增加的邏輯先用java寫成一個apk,然后把這個apk反編譯成smali文件,隨后把反編譯后的這部分邏輯的smali文件插入到目標程序的smali文件夾中,然后再在原來的方法上采用invoke的方式調用新加入的邏輯。這樣的話不管加入再多的邏輯,也只是修改了原程序的幾行代碼而已。這個思路也是很多重打包病毒慣用的伎倆,確實非常方便好用。
當我們在實戰中,有時會碰到某些apk在內部實現了自己的簽名檢查。這次我們介紹的Smali Instrumentation方法因為需要重打包,所以會改變原有的簽名。當然,你可以通過修改apk把簽名檢查的邏輯刪掉,但這又費時又費力。筆者在這里簡單介紹兩種非常方便的方法來解決簽名檢查問題。
1. Masterkey
Masterkey漏洞一共有三個,可以影響android 4.4以下版本。利用這個漏洞,我們可以插入新的classes.dex替換掉原有的classes.dex而不需要對apk本身進行重新簽名。如果apk本身有簽名校驗邏輯的話,利用這個漏洞來進行Smali Instrumentation簡直再好不過了。首先,你需要一個android 4.4以下版本的虛擬機或者真機,然后再使用一個masterkey利用工具對apk進行exploit即可。工具下載地址在文章最后,使用的命令如下:
#!bash
java -jar AndroidMasterKeys.jar -a orig.apk -z moddedClassesDex.zip -o out.apk
orig.apk是原本的apk文件,moddedClassesDex.zip是修改后的classes.dex并壓縮成zip文件,out.apk就是利用Masterkey漏洞生成的新的apk文件。如果成功的話用rar打開文件會看到兩個classes.dex。
圖3 Masterkey生成的apk文件有兩個classes.dex文件
通過masterkey打包后的apk文件簽名并不會有任何變化,這樣也就不用擔心簽名校驗問題了。
2. 自定義ROM
簽名的判斷其實是調用了android系統密碼庫的函數,如果我們可以自己定制ROM的話,只需要修改AOSP源碼路徑下的libcore\luni\src\main\java\java\security\MessageDigest.java文件。將isEqual函數中的判斷語句注釋掉:
#!java
public static boolean isEqual(byte[] digesta, byte[] digestb) {
if (digesta.length != digestb.length) {
return false;
}
// for (int i = 0; i < digesta.length; i++) {
// if (digesta[i] != digestb[i]) {
// return false;
// }
// }
return true;
}
這樣的話,如果在你自定義的ROM上運行apk,無論你怎么修改classes.dex文件,都不需要關心簽名問題了,系統會永遠返回簽名正確的。
雖然現在越來越多的apk開始使用so文件進行邏輯處理和加固,android 4.4也加入art運行環境,但dalvik永遠是android最經典的東西。如果想要學好android逆向,一定要把這部分知識學好。并且把smali研究透徹以后,會對我們以后要講的自定義dalvik虛擬機有很大幫助。另外文章中所有提到的代碼和工具都可以在我的github下載到,地址是: https://github.com/zhengmin1989/TheSevenWeapons
Way of the AndroidCracker http://androidcracking.blogspot.hk/p/way-of-android-cracker-lessons.html
Android Master Key Exploit – Uncovering Android Master Key
https://bluebox.com/technical/uncovering-android-master-key-that-makes-99-of-devices-vulnerable/
https://github.com/Fuzion24/AndroidZipArbitrage
Min Zheng, Patrick P. C. Lee, John C. S. Lui. "ADAM: An Automatic and Extensible Platform to Stress Test Android Anti-Virus Systems", DIMVA 2012