Hook技术应用
已经介绍了安卓 Native hook 原理,这里介绍 hook 技术的应用,及 Cyida Substrate
框架。
分析某APP,发现其POST请求数据经过加密,我们希望还原其明文。经分析,加密是在so中的 Java_com_imohoo_jni_Main_abc()
函数内完成的。
该函数通过 getkey()
和 getIV()
分别生成加密密钥与IV,然后使用AES加密请求数据。
简单逻辑如下:
v_iv = getIV((int)env, a5);
v14 = getkey((int)v11, a5);
--
aes_key_setup(v14, &v_key, 128);
--
aes_encrypt_cbc((int)dec, size, (int)enc, (int)&v_key, 128, v_iv);
分析 getIV()
与 getkey()
函数的实现,其经过强混淆,并且生成的key又经过 aes_key_setup()
函数变换。静态分析变换过程其使用了部分运行时动态修改的内存,静态分析出结果机率为0。
但由上面代码执行流程,发现通过hook aes_encrypt_cbc()
函数,就能简单的拿到IV与加密key
使用 Cydia Substrate 框架来完成这个任务,主要代码如下:
#include <android/log.h>
#include <substrate.h>
#include <stdio.h>
#define LOG_TAG "KEYHOOK"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)
MSConfig(MSFilterExecutable, "/system/bin/app_process")
void (*original_getnewkey) (char* in, int len, char *out, char *key, int key_len, char *iv);
void replaced_getnewkey (char* in, int len, char *out, char *key, int key_len, char *iv)
{
LOGI("ENC_KEY [%s]", key);
LOGI("IV [%s]", iv);
LOGI("PlainText [%s]", in);
original_getnewkey(in, len, out, key, 128, iv);
}
void* lookup_symbol(char* libraryname, char* symbolname)
{
void *imagehandle = dlopen(libraryname, RTLD_GLOBAL | RTLD_NOW);
if (imagehandle != NULL){
void * sym = dlsym(imagehandle, symbolname);
if (sym != NULL){
return sym;
}
else{
LOGI("(lookup_symbol) dlsym didn‘t work");
return NULL;
}
}
else{
LOGI("(lookup_symbol) dlerror: %s",dlerror());
return NULL;
}
}
void cigi_hook(void *orig_fcn, void* new_fcn, void **orig_fcn_ptr)
{
MSHookFunction(orig_fcn, new_fcn, orig_fcn_ptr);
}
MSInitialize {
LOGI("Cydia Init");
void *getnewkey_t = lookup_symbol("/data/app-lib/com.imohoo.shanpao-1/libshanpao_jni.so", "aes_encrypt_cbc");
cigi_hook(getnewkey_t, (void*)&replaced_getnewkey, (void**)&original_getnewkey);
}
代码显示了 hook 系统与应用 so 之间的区别,我们的 substrate 模块运行在 app_process 的上下文中,也就是 zygote 进程。所有的 Android 应用进程都由它 fork 而来,而这个进程中并没有加载 libshanpao_jni.so
这个库,因此直接查找 aes_encrypt_cbc
符号肯定是找不到的。
我的解决办法是在 zygote 中使用 dlopen()
主动加载之。根据so加载原则,fork出的APP进程启动后,将会使用我们加载的 libshanpao_jni.so
库。
这是一个有用的技巧。
该 hook 框架的一个完整工程,参考 github 上的 DumpDex,该工程通过 hook 系统 dalvik 运行时 libdvm.so
的 _Z12dexFileParsePKhji
函数实现脱壳。
如何自己创建这样一个工程,参考莫灰灰博客。