Android 逆向之旅(下)
-
Upload
pu-lee -
Category
Technology
-
view
188 -
download
3
Transcript of Android 逆向之旅(下)
Android 逆向之旅 ( 下 )
實驗環境• 手機實機 ( 室友舊手機… ) : HTC Sensation XL with Beats Audio
X315e• Rooted
• HT 版 pad 可以在 root 環境下執行• 針對 HT 版分析• 環境:• Android 4.0.3• Windows 8.1 64bit
• Android NDK• Android SDK
Xposed• 替換 app_process• On package load Hook• Load libFKPAD.so to jp.gunho.pad
libFKPAD.so• 載入時間點為 libpad.so 已經解密後• 直接從 memory dump data• Read /proc/self/maps• Find start, end address of segments of libpad.so
靜態分析• 目前狀態:• 有四個 Raw memory dump file• 知道當前 maps 映射表
• 拼湊現場• IDA load each data at its location
靜態分析
靜態分析• 找出符號表
ELF 結構
靜態分析 – 找出符號表• Find program header of type PT_DYNAMIC• 撈出 SYMTAB, STRTAB 等表訊息
SYMTAB
STRTAB
靜態分析 --- 針對有興趣函式分析
動態分析• 觀察參數 => Hook• 動態分析觀察• android_server (ida)
• 規避雙進程保護• 一個進程只能被 attach 一次
規避方式• Hook + fork• 凍結 (Sleep) 原進程
成果
Demo• https://www.youtube.com/watch?v=QpO2mF7egqU