[分享]libjiagu.so 解密，还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]libjiagu.so 解密，还原

发表于: 2021-4-14 15:22 22320

[分享]libjiagu.so 解密，还原

X.D

2021-4-14 15:22

22320

ELF 部分的解密流程

依次解密被抽调的数据和SO

public static jiagu decode_jiagu(byte[] bmp, byte[] mips){

}

修复方法。直接写回去就好了。
public int save(String out){

// long symtab_address = 0, stratb_address = 0;
for(int i = 0; i < size; i++){
Elf32_Dyn dyn = Bytes2Dyn( memcpy(this.elf, dyn_address + i * SIZEOF_Elf32_Dyn , SIZEOF_Elf32_Dyn) );
if(dyn.d_tag == DT_PLTREL){
if(dyn.d_un.d_val != DT_REL){
System.out.println("DT_PLTREL 异常");
err = 2;
break;
}
}else if(dyn.d_tag == DT_JMPREL){
plt_rel = dyn.d_un.d_ptr;
}else if(dyn.d_tag == DT_PLTRELSZ){
plt_rel_count = dyn.d_un.d_val / SIZEOF_Elf32_Rel;

// }else if(dyn.d_tag == DT_SYMTAB){
// symtab_address = dyn.d_un.d_ptr;
// }else if(dyn.d_tag == DT_STRTAB ){
// stratb_address = dyn.d_un.d_ptr;
}
}
if( rel != 0 && rel_count != 0 ){
size = (int) (rel_count SIZEOF_Elf32_Rel);
if( size > this.rel.length )
size = this.rel.length;
System.arraycopy(this.rel, 0, this.elf, (int)rel, size);
} else {
err = 3;
}
if( plt_rel != 0 && plt_rel_count != 0 ){
size = (int) (plt_rel_count SIZEOF_Elf32_Rel);
if( size > this.plt_rel.length )
size = this.plt_rel.length;
System.arraycopy(this.plt_rel, 0, this.elf, (int)plt_rel, size);

DEX解密：
classes.dex 加固后的结构： 360的dex + 热修复信息 + 原APP的dex
1.读取360的dex大小，获取热修复信息偏移，大小,每个字节^ 0x52解密出信息

热修复信息的地址，大小调用makekey->_Z9arm_a_2PcjS_Rii->_Z9arm_a_0v->_Z10__fun_a_18Pcj 计算2组KEY。
翻译出来的代码如下
图片描述

public static Object[] makekey(byte[] fix, long xor){

}
3.依次读取每个DEX的数据,详细结构: dexindex+next+data1size+data1+data2
解密流程：

用makekey计算出来的rc4key 先解密，然后 LZMA:24解压，在把前0x70个字节和makeykey的第二个KEY^最后和dex_data2合并就得到完整的dex

其余的代码很好逆，菜鸟代码写的比较挫就不献丑了。

jiagu jg = new jiagu();
byte[] key = decode_bmp(bmp);
if( key != null ){
    byte[] zip = decode_mips(mips, key);
    byte[] md = new byte[zip.length -4];
    System.arraycopy(zip, 4, md, 0, md.length);
    byte[] uncompress = unjzlib(md);
    if( uncompress == null )
        return null;
 
    int off = 1;
    jg.Phdr = elf_decode(uncompress, off);
    off += jg.Phdr.length + 4;
 
    jg.plt_rel = elf_decode(uncompress, off);
    off += jg.plt_rel.length + 4;
 
    jg.rel = elf_decode(uncompress, off);
    off += jg.rel.length + 4;
 
    jg.Dyn = elf_decode(uncompress, off);
 
    int pElf = off + jg.Dyn.length + 4;
    jg.elf = new byte[ uncompress.length - pElf ];
    System.arraycopy(uncompress, pElf, jg.elf, 0, uncompress.length - pElf);
 
}
return jg;

jiagu jg = new jiagu();

byte[] key = decode_bmp(bmp);

if( key != null ){

byte[] zip = decode_mips(mips, key);

byte[] md = new byte[zip.length -4];

System.arraycopy(zip, 4, md, 0, md.length);

byte[] uncompress = unjzlib(md);

if( uncompress == null )

return null;

int off = 1;

jg.Phdr = elf_decode(uncompress, off);

off += jg.Phdr.length + 4;

jg.plt_rel = elf_decode(uncompress, off);

off += jg.plt_rel.length + 4;

jg.rel = elf_decode(uncompress, off);

off += jg.rel.length + 4;

jg.Dyn = elf_decode(uncompress, off);

int pElf = off + jg.Dyn.length + 4;

jg.elf = new byte[ uncompress.length - pElf ];

System.arraycopy(uncompress, pElf, jg.elf, 0, uncompress.length - pElf);

}

return jg;

int err = 0;
int size = this.Phdr.length / SIZEOF_Elf32_Phdr;    
long dyn_address = 0, dyn_size = 0;
for(int i = 0; i < size; i++){
    // Type           Offset   VirtAddr   PhysAddr   FileSiz    MemSiz     Flg Align
    // PHDR           0x000034 0x00000034 0x00000034 0x00000100 0x00000100 R   0x4
    // DYNAMIC        0x031BFC 0x00032BFC 0x00032BFC 0x00000108 0x00000108 RW  0x4   
    Elf32_Phdr p = Bytes2Phdr( memcpy(this.Phdr, i * SIZEOF_Elf32_Phdr, SIZEOF_Elf32_Phdr) );
    if( p.p_type == PT_PHDR ){
        System.arraycopy(this.Phdr, 0, this.elf, (int)p.p_offset, this.Phdr.length);
        continue;
    }
    if( p.p_type == PT_DYNAMIC ){
        dyn_address = p.p_offset;
        dyn_size = p.p_filesz / SIZEOF_Elf32_Dyn;
        System.arraycopy(this.Dyn, 0, this.elf, (int)p.p_offset, this.Dyn.length);
        continue;
    }
}
 
if( dyn_address == 0 || dyn_size == 0 ){
    System.out.println("Elf32_Dyn 异常");
    return 1;
}
 
size = this.Dyn.length / SIZEOF_Elf32_Dyn;
long rel = 0, rel_count = 0;
long plt_rel = 0, plt_rel_count = 0;

int err = 0;

int size = this.Phdr.length / SIZEOF_Elf32_Phdr;

long dyn_address = 0, dyn_size = 0;

for(int i = 0; i < size; i++){

// Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align

// PHDR 0x000034 0x00000034 0x00000034 0x00000100 0x00000100 R 0x4

// DYNAMIC 0x031BFC 0x00032BFC 0x00032BFC 0x00000108 0x00000108 RW 0x4

Elf32_Phdr p = Bytes2Phdr( memcpy(this.Phdr, i * SIZEOF_Elf32_Phdr, SIZEOF_Elf32_Phdr) );

if( p.p_type == PT_PHDR ){

System.arraycopy(this.Phdr, 0, this.elf, (int)p.p_offset, this.Phdr.length);

continue;

}

if( p.p_type == PT_DYNAMIC ){

dyn_address = p.p_offset;

dyn_size = p.p_filesz / SIZEOF_Elf32_Dyn;

System.arraycopy(this.Dyn, 0, this.elf, (int)p.p_offset, this.Dyn.length);

continue;

}

if( dyn_address == 0 || dyn_size == 0 ){

System.out.println("Elf32_Dyn 异常");

return 1;

}

size = this.Dyn.length / SIZEOF_Elf32_Dyn;

long rel = 0, rel_count = 0;

long plt_rel = 0, plt_rel_count = 0;

}else if(dyn.d_tag == DT_REL){
    rel = dyn.d_un.d_ptr;
}else if(dyn.d_tag == DT_RELSZ){
    rel_count = dyn.d_un.d_val / SIZEOF_Elf32_Rel;

}else if(dyn.d_tag == DT_REL){

rel = dyn.d_un.d_ptr;

}else if(dyn.d_tag == DT_RELSZ){

rel_count = dyn.d_un.d_val / SIZEOF_Elf32_Rel;

    } else {
        err = 4;
    }
 
 
    this.pshdr = ByteToDword(this.elf, 32);
    long e_shstrndx = ByteToWord(this.elf, 50);
    // 主动添加 .dynamic ，，否则readelf报错
    // [ 2] .dynsym           DYNSYM          00000148 000148 001b90 10   A  3   1  4
    long str = shstrtab();
    Elf32_Shdr es = new Elf32_Shdr();
    // [20] .dynamic          DYNAMIC         00032bfc 031bfc 000108 08  WA  3   0  4
    es.sh_name = sh_name(str, ".dynamic");
    es.sh_type = SHT_DYNAMIC;
    es.sh_addr = dyn_address;
    es.sh_offset = dyn_address;
    es.sh_size = dyn_size * SIZEOF_Elf32_Dyn;
    es.sh_entsize = SIZEOF_Elf32_Dyn;
    es.sh_flags = SHF_ALLOC | SHF_WRITE;
    es.sh_link = 3;
    es.sh_info = 0;
    es.sh_addralign = 4;
    System.arraycopy(Shdr2Bytes(es), 0, this.elf, (int)pshdr+ SIZEOF_Elf32_Shdr * 2, SIZEOF_Elf32_Shdr);
 
    // [32] .shstrtab         STRTAB          00000000 09c30f 000125 00      0   0  1
    es.sh_name = sh_name(str, ".shstrtab");
    es.sh_type = SHT_STRTAB;
    es.sh_addr = 0;
    es.sh_offset = shstrtab();
    es.sh_size = this.pshdr - str;
    es.sh_entsize = 0;
    es.sh_flags = 0;
    es.sh_link = 0;
    es.sh_info = 0;
    es.sh_addralign = 1;
    System.arraycopy(Shdr2Bytes(es), 0, this.elf, (int)(pshdr+ SIZEOF_Elf32_Shdr * e_shstrndx), SIZEOF_Elf32_Shdr);
 
    FileOutputStream fos = null;
    try {
        File file = new File(out);
        fos = new FileOutputStream(file);
        fos.write( this.elf );
        fos.close(); 
 
    } catch (Exception e) {
        err = 5;
    }
    return err;
}

} else {

err = 4;

}

this.pshdr = ByteToDword(this.elf, 32);

long e_shstrndx = ByteToWord(this.elf, 50);

// 主动添加 .dynamic ，，否则readelf报错

// [ 2] .dynsym DYNSYM 00000148 000148 001b90 10 A 3 1 4

long str = shstrtab();

Elf32_Shdr es = new Elf32_Shdr();

// [20] .dynamic DYNAMIC 00032bfc 031bfc 000108 08 WA 3 0 4

es.sh_name = sh_name(str, ".dynamic");

es.sh_type = SHT_DYNAMIC;

es.sh_addr = dyn_address;

es.sh_offset = dyn_address;

es.sh_size = dyn_size * SIZEOF_Elf32_Dyn;

es.sh_entsize = SIZEOF_Elf32_Dyn;

es.sh_flags = SHF_ALLOC | SHF_WRITE;

es.sh_link = 3;

es.sh_info = 0;

es.sh_addralign = 4;

System.arraycopy(Shdr2Bytes(es), 0, this.elf, (int)pshdr+ SIZEOF_Elf32_Shdr * 2, SIZEOF_Elf32_Shdr);

// [32] .shstrtab STRTAB 00000000 09c30f 000125 00 0 0 1

es.sh_name = sh_name(str, ".shstrtab");

es.sh_type = SHT_STRTAB;

es.sh_addr = 0;

es.sh_offset = shstrtab();

es.sh_size = this.pshdr - str;

es.sh_entsize = 0;

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#脱壳反混淆

收藏・45

免费・7

支持

最新回复 (14)
GitRoy 雪币： 5308 活跃值： (5634) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 146 粉丝 179 关注私信	GitRoy 3 2 楼 mark 2021-4-14 17:25 0
D-t 雪币： 5201 活跃值： (4902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 21 关注私信	D-t 3 楼 mark 2021-4-14 21:35 0
Itachi_ 雪币： 2118 活跃值： (1404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Itachi_ 4 楼 mark 2021-4-15 12:52 0
涛之雨雪币： 783 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 2 关注私信	涛之雨 5 楼 “很好逆” 2021-4-15 13:22 0
初音未来 ㅤ 雪币： 236 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	初音未来 ㅤ 6 楼支持一下 2021-4-15 18:08 0
呆萌的小白雪币： 2189 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	呆萌的小白 7 楼康康 2021-4-16 12:10 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 8 楼康康 2021-4-17 00:40 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 9 楼 Mark 2021-4-29 19:59 0
mb_nytkycll 雪币： 402 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_nytkycll 10 楼大佬就是大佬 2021-4-29 21:40 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼了解下 2021-5-8 09:40 0
hzqhacker 雪币： 343 活跃值： (906) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 55 粉丝 2 关注私信	hzqhacker 1 12 楼好像不能用了 2021-7-6 16:28 1
菜鸟一高雪币： 794 活跃值： (663) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	菜鸟一高 13 楼看不懂 2021-8-6 14:35 0
wx_随风_878 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_随风_878 14 楼 mark 2021-8-26 19:47 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 15 楼大佬厉害哟哟哟 2022-2-9 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

X.D

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
GitRoy 雪币： 5308 活跃值： (5634) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 146 粉丝 179 关注私信	GitRoy 3 2 楼 mark 2021-4-14 17:25 0
D-t 雪币： 5201 活跃值： (4902) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 21 关注私信	D-t 3 楼 mark 2021-4-14 21:35 0
Itachi_ 雪币： 2118 活跃值： (1404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Itachi_ 4 楼 mark 2021-4-15 12:52 0
涛之雨雪币： 783 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 2 关注私信	涛之雨 5 楼 “很好逆” 2021-4-15 13:22 0
初音未来 ㅤ 雪币： 236 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	初音未来 ㅤ 6 楼支持一下 2021-4-15 18:08 0
呆萌的小白雪币： 2189 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	呆萌的小白 7 楼康康 2021-4-16 12:10 0
mb_yvvzfcdo 雪币： 334 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 2 关注私信	mb_yvvzfcdo 8 楼康康 2021-4-17 00:40 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 9 楼 Mark 2021-4-29 19:59 0
mb_nytkycll 雪币： 402 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_nytkycll 10 楼大佬就是大佬 2021-4-29 21:40 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼了解下 2021-5-8 09:40 0
hzqhacker 雪币： 343 活跃值： (906) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 55 粉丝 2 关注私信	hzqhacker 1 12 楼好像不能用了 2021-7-6 16:28 1
菜鸟一高雪币： 794 活跃值： (663) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	菜鸟一高 13 楼看不懂 2021-8-6 14:35 0
wx_随风_878 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_随风_878 14 楼 mark 2021-8-26 19:47 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 15 楼大佬厉害哟哟哟 2022-2-9 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复