Unidbg - 实战升级款风控SDK

有问题可以下方留言给我

实战目标

以下信息通过分析所得, 具体分析过程不是本文重点, 这里不赘述;

1
2
3
4
目标文件:  libtest.so
目标函数:  a(char* buf, int buf_len)
返回值: return_value > 0, 表示风险环境并且会在buf参数里写入详细风险环境信息;
        return_value == 0, 表示正常环境

相比较上次的差别, 是这次的库已经被ollvm混淆了, 以下是其中关键函数的IDA View, 面目全非

3.png

Unidbg代码

详情看注释, 写的很详细

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
package com.testgprotect;

import cn.banny.auxiliary.Inspector;
import cn.banny.auxiliary.Inspector;
import cn.banny.unidbg.Emulator;
import cn.banny.unidbg.LibraryResolver;
import cn.banny.unidbg.Module;
import cn.banny.unidbg.Symbol;
import cn.banny.unidbg.arm.ARMEmulator;
import cn.banny.unidbg.arm.HookStatus;
import cn.banny.unidbg.arm.context.Arm32RegisterContext;
import cn.banny.unidbg.arm.context.RegisterContext;
import cn.banny.unidbg.debugger.DebuggerType;
import cn.banny.unidbg.hook.ReplaceCallback;
import cn.banny.unidbg.hook.hookzz.HookEntryInfo;
import cn.banny.unidbg.hook.hookzz.HookZz;
import cn.banny.unidbg.hook.hookzz.IHookZz;
import cn.banny.unidbg.hook.hookzz.WrapCallback;
import cn.banny.unidbg.hook.xhook.IxHook;
import cn.banny.unidbg.linux.android.AndroidARMEmulator;
import cn.banny.unidbg.linux.android.AndroidResolver;
import cn.banny.unidbg.linux.android.XHookImpl;
import cn.banny.unidbg.linux.android.dvm.DvmObject;
import cn.banny.unidbg.linux.android.dvm.array.ByteArray;
import cn.banny.unidbg.linux.android.dvm.DalvikModule;
import cn.banny.unidbg.linux.android.dvm.DvmClass;
import cn.banny.unidbg.linux.android.dvm.VM;
import cn.banny.unidbg.memory.Memory;
import cn.banny.unidbg.pointer.UnicornPointer;
import com.sun.jna.Pointer;
import org.apache.log4j.Level;
import org.apache.log4j.Logger;
import unicorn.Unicorn;

import java.io.File;
import java.io.IOException;


//-Djava.library.path=prebuilt/win64 -Djna.library.path=prebuilt/win64

public class GProtect {
    private static LibraryResolver createLibraryResolver() {
        //指定SDK版本, 作者支持了19和23两个版本, 这里使用23
        return new AndroidResolver(23);
    }

    private static ARMEmulator createARMEmulator() {
        //虚拟机的包名
        return new AndroidARMEmulator("com.qidian.dldl.official");
    }

    //模拟器
    private final ARMEmulator emulator;
    //vm
    private final VM vm;
    //载入的模块
    private final Module module;

    //构造
    private GProtect() throws IOException {

        //初始化
        emulator = createARMEmulator();
        final Memory memory = emulator.getMemory();
        memory.setLibraryResolver(createLibraryResolver()); //new AndroidResolver(23)   createLibraryResolver()
        memory.setCallInitFunction();


//设置指定类的log等级
Logger.getLogger("cn.banny.unidbg.AbstractEmulator").setLevel(Level.DEBUG);

//Logger.getLogger("cn.banny.unidbg.linux.ARMSyscallHandler").setLevel(Level.DEBUG);


        //Load想要模拟的so
        vm = emulator.createDalvikVM(null);
        DalvikModule dm = vm.loadLibrary(new File("src/test/resources/example_binaries/libgprotect.so"), false);
        dm.callJNI_OnLoad(emulator);
        module = dm.getModule();


        //GProtectUtils = vm.resolveClass("com/android/jni/sig115");
    }

    //析构函数
    private void destroy() throws IOException {
        emulator.close();
        System.out.println("destroy");
    }

    //主函数
    public static void main(String[] args) throws Exception {
        GProtect test = new GProtect();
        test.get_risk();
        test.destroy();
    }

    private void get_risk() throws IOException {

        //申请参数空间
        Memory memory = emulator.getMemory();
        UnicornPointer data = memory.allocateStack(2048);
        //调用函数
        Number[] ret = module.callFunction(emulator, "a", data, 2048);
        System.out.println("risk status: " + ret[0]);
        System.out.println("risk env : " + data.getString(0));

    }
}

执行结果:

4.png

可以看见, 函数已经调用成功, 并且已经成功获取返回值和参数

过检测

这里就没有演示啦, 因为这里使用的系统文件, 都是经过我处理过的文件, 想了解过检测的同学可以看我之前实战AndroidNativeEmu的文章

总结

该项目是和AndroidNativeEmu一样, 也是通过Unicron来实现的, 不同的是该项目是使用Java语言来完成的, 并且在完成度上比AndroidNativeEmu会高一些, 但两款项目是很非常厉害的, 相信阅读完这两个项目, 一定会对arm, elf, linux, android等方面有新的认识

再啰嗦一句, Unicorn 是一款非常优秀的跨平台模拟执行框架, 通过上帝视角来调试和调用二进制代码, 几乎可以很清晰发现反调试和检测手段, 而Unicorn的应用绝不仅仅只是个虚拟机, 再次感谢QEMU, Unicron, AndroidNativeEmu等等这些开源大神, 是这些人推进了整个圈子的技术迭代;

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;