Android Native Hook技术（二）

Hook技术应用

已经介绍了安卓 Native hook 原理，这里介绍 hook 技术的应用，及 Cyida Substrate 框架。

分析某APP，发现其POST请求数据经过加密，我们希望还原其明文。经分析，加密是在so中的 Java_com_imohoo_jni_Main_abc() 函数内完成的。

该函数通过 getkey() 和 getIV() 分别生成加密密钥与IV，然后使用AES加密请求数据。

简单逻辑如下：

v_iv = getIV((int)env, a5);
v14 = getkey((int)v11, a5);
--
aes_key_setup(v14, &v_key, 128);
--
aes_encrypt_cbc((int)dec, size, (int)enc, (int)&v_key, 128, v_iv);

分析 getIV() 与 getkey() 函数的实现，其经过强混淆，并且生成的key又经过 aes_key_setup() 函数变换。静态分析变换过程其使用了部分运行时动态修改的内存，静态分析出结果机率为0。

但由上面代码执行流程，发现通过hook aes_encrypt_cbc() 函数，就能简单的拿到IV与加密key

使用 Cydia Substrate 框架来完成这个任务，主要代码如下：

#include <android/log.h>
#include <substrate.h>
#include <stdio.h>

#define LOG_TAG "KEYHOOK"
#define LOGI(...)  __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)

MSConfig(MSFilterExecutable, "/system/bin/app_process")

void (*original_getnewkey) (char* in, int len, char *out, char *key, int key_len, char *iv);
void replaced_getnewkey (char* in, int len, char *out, char *key, int key_len, char *iv) 
{
        LOGI("ENC_KEY [%s]", key);
        LOGI("IV [%s]", iv);
        LOGI("PlainText [%s]", in);
        original_getnewkey(in, len, out, key, 128, iv);
}

void* lookup_symbol(char* libraryname, char* symbolname)
{
        void *imagehandle = dlopen(libraryname, RTLD_GLOBAL | RTLD_NOW);
        if (imagehandle != NULL){
                void * sym = dlsym(imagehandle, symbolname);
                if (sym != NULL){
                        return sym;
                }
                else{
                        LOGI("(lookup_symbol) dlsym didn't work");
                        return NULL;
                }
        }
        else{
                LOGI("(lookup_symbol) dlerror: %s",dlerror());
                return NULL;
        }
}

void cigi_hook(void *orig_fcn, void* new_fcn, void **orig_fcn_ptr)
{
        MSHookFunction(orig_fcn, new_fcn, orig_fcn_ptr);
}

MSInitialize {
        LOGI("Cydia Init");
        void *getnewkey_t = lookup_symbol("/data/app-lib/com.imohoo.shanpao-1/libshanpao_jni.so", "aes_encrypt_cbc");

        cigi_hook(getnewkey_t, (void*)&replaced_getnewkey, (void**)&original_getnewkey);
}

代码显示了 hook 系统与应用 so 之间的区别，我们的 substrate 模块运行在 app_process 的上下文中，也就是 zygote 进程。所有的 Android 应用进程都由它 fork 而来，而这个进程中并没有加载 libshanpao_jni.so 这个库，因此直接查找 aes_encrypt_cbc 符号肯定是找不到的。

我的解决办法是在 zygote 中使用 dlopen() 主动加载之。根据so加载原则，fork出的APP进程启动后，将会使用我们加载的 libshanpao_jni.so 库。

这是一个有用的技巧。

该 hook 框架的一个完整工程，参考 github 上的 DumpDex，该工程通过 hook 系统 dalvik 运行时 libdvm.so 的 _Z12dexFileParsePKhji 函数实现脱壳。

如何自己创建这样一个工程，参考莫灰灰博客。