牛鼻，android大牛，学习了

跪拜博士大牛！

常备武器库，结合动态分析，果然高效啊

厉害，各种奇淫技巧

前来学习！！！

大牛真是神啊！第三题我也是把进程的内存dump出来的，不过里面搜索出来的dex都不正确。不知道问题出在哪里？

围观一下，恭喜楼主

谢谢大牛分享....能给下apk吗？我等渣渣拿不到后几题的apk

别用百度了，用Google

DIAS:Automated Online Analysis for Android Applications PDF在这里，不知道你们能不能看：
7c3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2H3L8r3!0J5k6h3u0U0M7r3q4*7i4K6u0W2K9h3g2W2k6g2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1j5h3#2H3i4K6u0r3M7%4c8S2L8i4m8Q4x3X3g2B7M7%4m8Q4x3@1k6@1M7q4)9K6c8q4)9J5y4X3q4J5L8Y4g2E0j5X3g2J5i4K6y4p5y4U0V1^5y4o6j5%4x3b7`.`.

第三题算法相关的代码：

4ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4C8j5h3&6S2i4K6u0W2L8h3!0T1K9i4y4W2j5$3I4S2j5W2)9J5k6h3!0J5k6#2)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9Y4y4H3i4K6y4r3N6s2W2H3k6g2)9K6c8s2u0W2M7%4g2D9N6q4)9J5y4X3#2V1y4g2)9K6c8p5S2i4x3U0M7^5y4K6W2W2x3K6R3J5x3r3p5K6j5$3p5#2y4o6R3%4k6e0j5$3k6e0N6T1x3K6b7I4y4$3j5$3j5e0p5%4x3r3j5H3k6r3y4T1y4h3b7&6j5$3y4X3y4r3p5@1j5K6j5I4z5h3t1J5y4r3u0T1j5K6k6W2x3$3q4T1x3o6R3H3k6r3q4V1x3K6m8X3x3X3x3K6j5X3k6X3k6e0q4V1k6h3j5J5j5X3b7%4y4o6M7@1z5h3y4W2x3U0y4T1

给大家参考

apk能不能发出来下

apk不是原版的啊。

另外，第四题的那个libmobisec.so保护的挺好，ida，甚至包括我们的解析工具，都完全失效了。比如说动态节区的打印的信息如下，完全是我们之前没遇到，值得学习。

index        d_tag        d_val_or_d_ptr
0        0x60198899        -1988738981
1        0x74389238        -1039113264
2        0xe4194519        -594982116
3        0x12a1cca9        1285437848
4        0xc89c6495        -935030432
5        0xc6d4c35f        -1848102621
6        0x50950898        1684645620
7        0x8a90424        943252561
8        0x431073c        -1862184825
9        0xbeccb25c        572517296
10        0xd4894c1c        -863408356
11        0xc489721c        -1131834596
12        0x47349122        1205084888
13        0xe3090390        -991386749
14        0xd02c2430        672402664
15        0x9bdc4241        -386939863
16        0x4a9c8482        -363248496
17        0xfa140bb4        -32548080
18        0x8dc2f063        -795603891
19        0x9f29a80d        -1541829864

DIAS论文是收费的啊

大家可能需要的论文
就是文中提及到的
希望有人翻译一下。
thx

上传的附件：

• TR-CMU-CyLab-13-009.pdf （295.71kb，168次下载）

好像不是同一篇
f63K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3W2W2k6h3g2^5M7r3I4G2M7X3g2Q4x3X3g2A6k6h3g2W2i4K6u0W2L8%4u0Y4i4K6u0r3M7%4c8S2L8i4m8Q4x3V1k6K6N6r3q4E0M7q4)9J5k6h3A6K6M7q4)9K6c8X3q4J5L8Y4g2E0j5X3g2J5i4K6y4p5y4U0V1^5y4o6j5%4x3b7`.`.

论文原作者表示放一个更为完整的版本吧

见附件

上传的附件：

• main.pdf （503.32kb，169次下载）

所以我把从0x1284到0x129C的地方都NOP了，在0x12AC的地方调用log函数。

这个arm汇编，nop指令对应的机器码是啥哈

我采用    指令所在地址+4+偏移量=跳转目标地址

这个偏移量算出来不对。
正确的公式是？

感觉很高端的样子啊

麻弊，简直是膜拜！！学霸太强了！有你一半功力就不得了了。

arm汇编的BL 比较好算
指令所在地址A ，目标地址B
(B-（A+8）)/4

Thumb就比较复杂了，目前没找到通用的公式。

第二题
Java层没做什么，直接把输入放到底层的libcrackme.so里做了判断。发现JNI_Onload里做了些处理，接着securityCheck里面最后有判断，将输入和一个wojiushidaan做比较。输入后发现密码错误，因此可以猜测前面一大段逻辑的作用就是会把这个最终的字符串改掉。其实只需要知道最终判断时候那个地址上的值就行了，先尝试了调试，发现一旦attach就退出，做了反调试。注意到比较之前有个android_log_print函数，因此可以直接利用这个函数做打印。我选择patch方法是直接把这个函数往下移，因为在0x12A4地址处正好有需要的数据给了R2，所以我把从0x1284到0x129C的地方都NOP了，在0x12AC的地方调用log函数。把patch好的so直接放回去，随便输入就能看到最终比较的密码了。

原版的汇编

.text:00001284 92 FF FF EB                             BL      __android_log_print
.text:00001288 00 00 95 E5                             LDR     R0, [R5]
.text:0000128C 04 10 A0 E1                             MOV     R1, R4
.text:00001290 00 20 A0 E3                             MOV     R2, #0
.text:00001294 A4 32 90 E5                             LDR     R3, [R0,#JNINativeInterface.GetStringUTFChars]
.text:00001298 05 00 A0 E1                             MOV     R0, R5
.text:0000129C 33 FF 2F E1                             BLX     R3
.text:000012A0 60 10 9F E5                             LDR     R1, =(CheckPassword - 0x5FBC)
.text:000012A4 07 20 91 E7                             LDR     R2, [R1,R7] ; CheckPassword
.text:000012A8
.text:000012A8                         loc_12A8                                ; CODE XREF: Java_com_yaotong_crackme_MainActivity_securityCheck+120j
.text:000012A8 00 30 D2 E5                             LDRB    R3, [R2]
.text:000012AC 00 10 D0 E5                             LDRB    R1, [R0]
.text:000012B0 01 00 53 E1                             CMP     R3, R1

我改之后的汇编

.text:00001284 00 00 A0 E1                             NOP
.text:00001288 00 00 95 E5                             LDR     R0, [R5]
.text:0000128C 00 00 A0 E1                             NOP
.text:00001290 00 00 A0 E1                             NOP
.text:00001294 00 00 A0 E1                             NOP
.text:00001298 00 00 A0 E1                             NOP
.text:0000129C 00 00 A0 E1                             NOP
.text:000012A0 60 10 9F E5                             LDR     R1, =(off_628C - 0x5FBC)
.text:000012A4 07 20 91 E7                             LDR     R2, [R1,R7] ; off_628C
.text:000012A8
.text:000012A8                         loc_12A8                                ; CODE XREF: Java_com_yaotong_crackme_MainActivity_securityCheck+120j
.text:000012A8 04 00 A0 E3                             MOV     R0, #4
.text:000012AC 02 10 A0 E1                             MOV     R1, R2
.text:000012B0 87 FF FF EB                             BL      __android_log_print
.text:000012B4 05 00 00 1A                             BNE     loc_12D0

在修改当中，发现.text:00001288 00 00 95 E5                             LDR     R0, [R5]
改为00 00 A0 E1,程序在没进入函数前，程序就会崩溃。
DDMS的提示为：
02-05 06:39:32.430: A/libc(2490): Fatal signal 11 (SIGSEGV) at 0x00000004 (code=1), thread 2490 (yaotong.crackme)

为什么会崩溃呢？

菜鸟问一句，拜读了那篇论文，是将下载那个Indroid压缩文件直接用第三方recovery刷，还是要单独编译啊，是用mmm吗？

第五题的话我做了。。感觉就那个复杂的算法不知道怎么搞？楼主说暴力破解。可我看了算法复杂度有2^128呢。不知如何处理。