2014 NAGA&PIOWIND APP应用攻防竞赛 Crackme03
一开始用模拟器跑起来就崩溃,我以为是模拟器系统版本的问题,后来看了配置文件,发现没有问题,猜测可能是有反调试,第三题了应该出现反调试了
于是使用调试模式启动应用
先修改android_server的名称和监听端口
root@generic:/data/local/tmp # ./as -p23333相应的端口转发也要修改
C:\Users\Luyu>adb forward tcp:23946 tcp:23333然后调试模式启动
adb shell am start -D -n com.crackme/.MainActivity开启DDMS,选中待调试的应用,前面出现小虫子
然后输入
C:\Users\Luyu>jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
设置未捕获的java.lang.Throwable
设置延迟的未捕获的java.lang.Throwable
正在初始化jdb...
>如果出现如下信息,先关掉Android Studio等
C:\Users\Luyu>jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(DualStackPlainSocketImpl.java:79)
at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:350)
at java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:206)
at java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:188)
at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:172)
at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
at java.net.Socket.connect(Socket.java:589)
at com.sun.tools.jdi.SocketTransportService.attach(SocketTransportService.java:222)
at com.sun.tools.jdi.GenericAttachingConnector.attach(GenericAttachingConnector.java:116)
at com.sun.tools.jdi.SocketAttachingConnector.attach(SocketAttachingConnector.java:90)
at com.sun.tools.example.debug.tty.VMConnection.attachTarget(VMConnection.java:519)
at com.sun.tools.example.debug.tty.VMConnection.open(VMConnection.java:328)
at com.sun.tools.example.debug.tty.Env.init(Env.java:63)
at com.sun.tools.example.debug.tty.TTY.main(TTY.java:1082)
致命错误:
无法附加到目标 VM。修改调试选项,然后使用IDA attach
挂上去后,点击运行,或者F9,断在ELF的入口
按照前两题的方法dump解密后的so即可
auto fp, dex_addr, end_addr;
fp = fopen("E:\\libcrackme.so", "wb");
for(dex_addr = 0xA33AC000; dex_addr < 0xA3406000; dex_addr++)
fputc(Byte(dex_addr), fp);文件头依旧是空的,使用正常的ELF文件头覆盖回去,使用IDA打开,找到 _Z9fdog_initv,这里实现了反调试
跟入该函数,该函数创建了很多的子线程进行反调试,我们一个个跟
这里有一个问题,创建子线程时的函数地址是动态调试时内存的地址,如果不清楚我们看伪代码
所有子线程的函数参数全是内存地址,有两种方法,第一种是动态调试,但是需要过掉反调试,第二种方法,可以看到我在上面的截图里已经体现出来了,so加载到内存里的地址一般都是0x*****000,所以我们可以根据地址的后三位来搜索函数,而且IDA识别函数后会将函数命名为sub_****,而且有地址的偏移等信息
那么我们来一个个找
第一个函数是_Z13debuggdb_scanv,实现了循环检测
跟进其中调用的函数,检测的是进程名,分别检测了gdb,gdbserver,android_server,xposed
第二个函数_Z26file_pro_thread_strengthenv,这个函数我不知道是什么反调试操作,比较猥琐的感觉
先放着,我找其他师傅再问问
第三个函数_Z18prevent_attach_onev,看起来好像是调用了上了锁的函数的样子
这个函数读取了进程的/proc/%d/task/%s/stat文件夹
判断了标志位
第四个函数_Z18prevent_attach_twov好像也是调用了上了锁的函数
反调试部分大概就是这样
接下来我们来看校验部分
进入校验,先初始化内存空间存储用户名和注册码,然后进入校验
三处-判断,然后进入校验
变量的初始化
将解码后的数据前n - 2位进行奇数位和偶数位的交换
最后正常对比
最后测试
注册代码
public class MyKeyGen {
public static void main(String[] args) throws Exception {
String userName = "wnagzihxa1n";
StringBuilder re_userName = new StringBuilder();
for (int i = 0; i < userName.length() - 2; i += 2) {
re_userName.append(userName.charAt(i + 1));
re_userName.append(userName.charAt(i));
}
re_userName.append(userName.charAt(userName.length() - 1));
// System.out.println(re_userName.toString());
StringBuilder temp = new StringBuilder(Base64.getBase64(re_userName.toString()));
System.out.println(temp);
StringBuilder regCode = new StringBuilder();
for (int i = 0; i < temp.length(); i++) {
regCode.append(temp.charAt(i));
if (temp.charAt(i + 1) == '=') {
break;
}
if ((i + 1) % 3 == 0) {
regCode.append('-');
}
}
System.out.println(regCode);
}
}Last updated