android逆向菜鸟速参手册完蛋版过校验

1、过SO签名校验在分析某软件 的时候发现重打包的时候出现闪退现象, 我下意识的怀疑是 签名校验, 下面是分析过程,大家都知道 Java端获得签名的代码如下:PackageInfo info = context.getPackageManager().getPackageInfo(context.getPackageName(), 64);Signature sign = info.signatures0;从而我就从 smali 代码中搜索 “signatures”, 没找到, 难道猜错了, 看到 有so 文件, 就拖进 IDA 中分析, 然后在ida中搜索 字符串”signatures”有关键字

2、出现, 然后我们跳转到对应的代码处, 发现此程序是通过反射机制来获得签名的,使用 Jni 反射获得签名的 代码如下:int getSignHashCode(JNIEnv *env, jobject context) /Context的类jclass context_clazz = (*env)-GetObjectClass(env, context);/ 得到 getPackageManager 方法的 IDjmethodID methodID_getPackageManager = (*env)-GetMethodID(env, context_clazz,getPackageManager

3、, ()Landroid/content/pm/PackageManager;); / 获得PackageManager对象jobject packageManager = (*env)-CallObjectMethod(env, context,methodID_getPackageManager);/ 获得 PackageManager 类jclass pm_clazz = (*env)-GetObjectClass(env, packageManager);/ 得到 getPackageInfo 方法的 IDjmethodID methodID_pm = (*env)-GetMethod

4、ID(env, pm_clazz, getPackageInfo,(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;);/ 得到 getPackageName 方法的 IDjmethodID methodID_pack = (*env)-GetMethodID(env, context_clazz,getPackageName, ()Ljava/lang/String;); / 获得当前应用的包名jstring application_package = (*env)-CallObjectMethod(env, context,metho

5、dID_pack);const char *str = (*env)-GetStringUTFChars(env, application_package, 0);_android_log_print(ANDROID_LOG_DEBUG, JNI, packageName: %sn, str); / 获得PackageInfojobject packageInfo = (*env)-CallObjectMethod(env, packageManager,methodID_pm, application_package, 64); jclass packageinfo_clazz = (*en

6、v)-GetObjectClass(env, packageInfo);jfieldID fieldID_signatures = (*env)-GetFieldID(env, packageinfo_clazz,signatures, Landroid/content/pm/Signature;);jobjectArray signature_arr = (jobjectArray)(*env)-GetObjectField(env,packageInfo, fieldID_signatures);/Signature数组中取出第一个元素jobject signature = (*env)-

7、GetObjectArrayElement(env, signature_arr, 0);/读signature的hashcodejclass signature_clazz = (*env)-GetObjectClass(env, signature);jmethodID methodID_hashcode = (*env)-GetMethodID(env, signature_clazz,hashCode, ()I);jint hashCode = (*env)-CallIntMethod(env, signature, methodID_hashcode);_android_log_pr

8、int(ANDROID_LOG_DEBUG, JNI, hashcode: %dn, hashCode);return hashCode;是一个简单的校验过程, 这里我本以为很简单的把 0 x23366 地址的代码NOP掉,然后重新打包测试 发现软件会直接发生错误, 看来这样直接NOP 不行, 那么我们就换种思路, 我这边是 直接将 r8中正确的签名值 复制到 r5 中, 我们需要Patch汇编代码进去,可直接修改 getSigns 函数, 首先我们编写一段复制的汇编代码.globl _start.align 2_start:.code 16 PUSH R4-R7,LRmov r2,r0mov r3,r8mov r1,#0loop:ldrb r1,r3strb r1,r2add r2,#1add r3,#1cmp r1,#0bne loopPOP R4-R7,PC然后我们使用 as.exe 来编译这段代码as strcpy.asm -o strcpy.o在使用IDA 反编译 strcpy.o 文件获得 代码的16进制值为 “F0B5021C4346002119781170013201330029F9D1F0BD”然后WinHex 打开lib