Android 逆向之旅 ( 下 )

實驗環境• 手機實機 ( 室友舊手機… ) ： HTC Sensation XL with Beats Audio

X315e• Rooted

• HT 版 pad 可以在 root 環境下執行• 針對 HT 版分析• 環境：• Android 4.0.3• Windows 8.1 64bit

• Android NDK• Android SDK

Xposed• 替換 app_process• On package load Hook• Load libFKPAD.so to jp.gunho.pad

libFKPAD.so• 載入時間點為 libpad.so 已經解密後• 直接從 memory dump data• Read /proc/self/maps• Find start, end address of segments of libpad.so

靜態分析• 目前狀態：• 有四個 Raw memory dump file• 知道當前 maps 映射表

• 拼湊現場• IDA load each data at its location

靜態分析

靜態分析• 找出符號表

ELF 結構

靜態分析 – 找出符號表• Find program header of type PT_DYNAMIC• 撈出 SYMTAB, STRTAB 等表訊息

SYMTAB

STRTAB

靜態分析 --- 針對有興趣函式分析

動態分析• 觀察參數 => Hook• 動態分析觀察• android_server (ida)

• 規避雙進程保護• 一個進程只能被 attach 一次

規避方式• Hook + fork• 凍結 (Sleep) 原進程

成果

Demo• https://www.youtube.com/watch?v=QpO2mF7egqU