学徒浅析Android开发——SO文件的混淆
.so(SharedObject)作用等同于windows环境下的.dll(dynamic link library)文件,我们在引用第三方SDK时,也会遇到需要调用相应的.so文件的情况,.so文件本事更多的是集成公共处理方法,当然有事也会用来保存重要的数据信息。
对于应用的编译与反编译过程中,本地混淆一直是有效的方法。对于.so文件,同样也适用于混淆,.so文件虽然在使用**工具IDA打开后看到的是汇编数据,但仍然存在着规律可循,不妨碍专业人员的阅读,所以掌握对.so文件的混淆也是必须的。
.so文件的混淆是从两方面入手:
1:方法名混淆
2:数据混淆
方法名混淆
我们在创建构建.so文件所需的.c和.h文件时,NDK会帮助我们自动生成native方法名,这个方法名是格式化,该方法名同时也是索引表中的索引名。因其特殊性,在IDA浏览时,可以通过索引表快速查看到。比如我们创建一个TestSimple,在里面声明一个native方法showDsc(),最终得到的方法名是:
Java_com_example_xx_TestSimple_showDsc
生成的.so文件在经过IDA反编译后,可以在函数索引表中清楚的看到:
好在NDK提供了修改的方法,帮助我们隐藏掉这种显眼的名字。首先说一下两个基础方法:
1、简化方法名,该方法如下:
继续以TestSimple为例,声明
#defineJNIFUNCTION_NATIVE(sig) Java_com_example_xx_TestSimple_##sig
将函数名前边的路径剔除掉,只显示函数名,避免显得直接。
- JNIEXPORT void JNICALL JNIFUCTION_NATIVE (showMath(JNIEnv *env, jobject obj));
该方法只能用来简化方法名,在编辑时有用,但是在**中,对隐藏没有作用,修改后,在IDA中依然可以查看到:
2、替换section索引名,该方法如下:
- __attribute__((section(".XXXX")))
其中XXXX表示自定义的索引名,需要在指定的函数名前 声明该方法, 例如:
- __attribute__((section (".xxxsimple"))) JNICALL jstring show(JNIEnv *env, jclass obj){
- return realShow(env,obj);
- }
实际效果图如下:
该方法通过改变属性类型,影响**后相关代码段解析顺序,
NDK的方法名混淆就是将1和2 两种方法通过配合RegisterNatives()注册的方式混合使用,RegisterNatives()可以实现与类关联的本地方法,这步操作必须在调用之前完成,也就是库加载过程中。一般是用JNI_Onload这个函数来完成。通过RegisterNatives()进行关联,将实际执行函数由声明的类函数转变成本地函数,达到隐藏的效果,调用步骤如下:
步骤一:
声明待替换的方法集合JNINativeMethod,是一个方法类型集合,
- //指针操作,将java层的showDsc函数指向到Native层的show()函数上
- static JNINativeMethodgetMethods[] = {
- {"showDsc","()Ljava/lang/String;",(void*)show},
- };
其中JNINativeMethod的结构定义如下:
- typedef struct{
- char *name;// 待指向函数名
- char *signature;// 待指向函数和形参类型
- void *fnPtr//函数指针,实际执行函数
- }
声明待注册的类名
- #define JNIREG_CLASS"com/example/xx/Test"
步骤二:
在实际执行函数前标记自定义属性名称
- __attribute__((section(".xxxfirst"))) JNICALL jstring show(JNIEnv *env, jclass obj){
- return realShow(env,obj);
- }
步骤三:
在实际执行函数完成操作。
- jstringrealShow(JNIEnv *env, jclass obj){
- return (*env)-> NewStringUTF(env,“10086”);
- }
步骤四:
执行RegisterNatives(),注册与指定类相关联的方法
- static int registerNativeMethods(JNIEnv* env, const char* className,JNINativeMethod* gMethods, int numMethods)
- {
- jclass clazz;
- clazz = (*env)->FindClass(env, className);
- if (clazz == NULL) {
- return JNI_FALSE;
- }
- if ((*env)->RegisterNatives(env, clazz, getMethods, numMethods) < 0) {
- return JNI_FALSE;
- }
- return JNI_TRUE;
- }
步骤五:对指定的类进行指定方法名注册,注册成功则返回0,失败为1。
- static intregisterNatives(JNIEnv* env)
- {
- if(!registerNativeMethods(env,JNIREG_CLASS,
- getMethods, sizeof(getMethods) /sizeof(getMethods[0])))
- {
- return JNI_FALSE;
- }
- return JNI_TRUE;
- }
步骤六:
在JNI_OnLoad中执行注册操作
- JNIEXPORT jintJNI_OnLoad(JavaVM* vm, void* reserved)
- {
- JNIEnv* env = NULL;
- jint result = -1;
- if ((*vm)->GetEnv(vm,(void**) &env, JNI_VERSION_1_4) != JNI_OK) {//GetEnv()用以获得一个JNIEnv全局对象
- return -1;
- }
- assert(env != NULL);
- if (!registerNatives(env)) {
- return -1;
- }
- result = JNI_VERSION_1_4;
- return result;
- }
构建成功之后,我们可以看到,在方法名索引表中找不到调用的函数名称。只有找到自定的section区域才能进行下一步解析。
数据混淆
通常情况下,在.so库中放置的是方法集合,但是如果存在文本内容时,就需要考虑数据混淆了,一旦使用声明常量的方式设置文本数据,这些数据在使用过程中会被基本类型完整保存,这些数据在通过**后,会直白的出现在**者面前。这种设置让汇编程序在进行地址指引时,指向的是一个数据源,而非指针地址时。如果我们对外提供文本数据时,对数据采取数组拼接的方式,指向数组获得的是一个指针地址,这样**者看到的是地址标记而非直白的数据源。下面是两组对比。
直接以文本形式输出:
- JNIEXPORT jstring JNICALLJava_com_example_xx_Test_showC
- (JNIEnv *env, jobject obj){
- charsha[100];
- nstrcpy(sha,H, A, C, E, J, F, NULL);
- return(*env)-> NewStringUTF(env, sha);
- }
使用数组组合的形式:
- JNIEXPORT jstring JNICALLJava_com_example_xx_Test_showB
- (JNIEnv *env, jobject obj){
- char str[15];
- str[0]= O[1];
- str[1]= N[4];
- str[2]= P[0];
- str[3]= N[2];
- str[4]= D[0];
- str[5]= Q[0];
- str[6]= Q[2];
- str[7]= O[1];
- str[8]= D[0];
- str[9]= P[3];
- str[10]= '\0';
- return(*env)-> NewStringUTF(env, str);
- }
最后,说一下,其实没有**不了的保护,只有**不了的人心,不管安全软件机构如何宣传,碰到有心人士也是无解,我们做开发的,只是在增加**难度而已。