一、序
无论是逆向分析还是漏洞利用,我所理解的攻防博弈无非是二者在既定的某一阶段,以高维的方式进行对抗,并不断地升级维度。比如,逆向工程人员一般会选择在Root的环境下对App进行调试分析,其是以root的高权限对抗受沙盒限制的低权限;在arm64位手机上进行root/越狱时,ret2usr利用技术受到PXN机制的约束,厂商从修改硬件特性的高维度进行对抗,迫使漏洞研究者提高利用技巧。
下文将在Android逆向工程方面,分享鄙人早期从维度攻击的角度所编写的小工具。工具本身可能已经不能适应现在的攻防,“授人以鱼不如授人以渔”,希望能够给各位读者带来一些思路,构建自己的分析利器。
二、正
0x00 自定义Loader
早期Android平台对SO的保护采用畸形文件格式和内容加密的方式来对抗静态分析。随着IDA以及F5插件地不断完善和增多,IDA已经成为了逆向人员的标配工具。正因如此,IDA成为了畸形文件格式的对抗目标。畸形方式从减少文件格式信息到构造促使IDA加载crash的变化正应证了这一点。对此,鄙人研究通过重建文件格式信息的方式来让IDA正常加载。
在完成编写修复重建工具不久之后,鄙人在一次使用IDA的加载bin文件时,猛然意识到畸形文件格式的对抗目标是IDA对ELF文件的加载的默认loader。既然防御的假象和维度仅仅在于默认loader,那么以自定义的loader加载实现高维攻击,理论是毫无敌手的。
那如何来实现IDA自定义loader呢?
以Segment加载的流程对ELF文件进行解析,获取和重建Section信息(参看上面所说贴子)。
把文件信息在IDA中进行展示,直接调用对应的IDAPython接口
实现加载bin文件的py代码见文末github链接,直接放置于IDA/loaders目录即可。由于早期少有64位的安卓手机,加载脚本仅支持arm 32位格式,有兴趣读者可以改写实现全平台通用。不同ndk版本所编译文件中与动态加载无关的Section不一定存在,注释相应的重建代码即可。
