一、题目概览这是一道来自SCTF 2018的Android逆向题目,文件为crackme2.apk。题目综合运用了多种Android逆向对抗技术,包括:ELF自定义节区加密ptrace反调试机制父子进 2025-11-24 00:27:52 Author: www.freebuf.com(查看原文) 阅读量:1 收藏
一、题目概览
这是一道来自SCTF 2018的Android逆向题目,文件为crackme2.apk。题目综合运用了多种Android逆向对抗技术,包括:
ELF自定义节区加密
ptrace反调试机制
父子进程通信
字符位置置换算法
本文将从零开始,完整复现解题过程,深入剖析每一个技术细节。
二、环境准备
2.1 所需工具
基本工具:
unzip,file,hexdumpELF分析:
readelf,objdump逆向分析:
radare2或IDA Pro编程语言:
Python 3
2.2 题目文件
$ file crackme2.apk
crackme2.apk: Zip archive data, at least v2.0 to extract
文件大小约230KB,标准的Android APK格式。
三、APK结构分析
3.1 解压APK
unzip -q crackme2.apk -d crackme2_unpacked
cd crackme2_unpacked
查看解压后的目录结构:
crackme2_unpacked/
├── AndroidManifest.xml
├── classes.dex
├── lib/
│ └── armeabi/
│ └── libckm.so # 核心SO文件
├── META-INF/
└── res/
3.2 定位核心文件
Android逆向题目的核心逻辑通常在native层实现。查看SO文件:
$ file lib/armeabi/libckm.so
lib/armeabi/libckm.so: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (SYSV),
dynamically linked, BuildID[sha1]=0a08f6813926c0270f3520334e8c2c63f772a0c4, stripped
关键信息:
32位ARM架构
动态链接库
已stripped- 符号表被移除,增加分析难度
$ ls -lh lib/armeabi/libckm.so
-rwxr-xr-x 1 user user 82K Jun 12 2018 lib/armeabi/libckm.so
四、ELF结构深度分析
4.1 节区表分析
使用readelf查看节区信息:
readelf -S lib/armeabi/libckm.so
关键输出:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[12] .text PROGBITS 0000346c 00346c 00dcd8 00 AX 0 0 4
[13] .magic PROGBITS 00011144 011144 0001dc 00 AX 0 0 4
[14] .ARM.exidx ARM_EXIDX 00011320 011320 0005a0 08 AL 12 0 4
[16] .rodata PROGBITS 00011d7c 011d7c 00159c 00 A 0 0 4
发现异常: 第13号节区名为 .magic,这不是标准ELF节区!
.magic节区详细信息:
虚拟地址:
0x00011144文件偏移:
0x011144大小:
0x1dc(476字节)标志:
AX(Allocatable + eXecutable)
自定义节区 + 可执行权限 = 几乎可以确定这里隐藏了加密的代码!
4.2 提取.magic节区数据
readelf -x .magic lib/armeabi/libckm.so
输出十六进制数据:
".magic"节的十六进制输出:
0x00011144 00492fea 09b5a6e6 b8d947e9 0e3daeee .I/.......G..=..
0x00011154 11d1b2f2 14f5b6f6 1c1911fe 140d15fa ................
0x00011164 2c0129c6 20253dc2 243931ce 2c0d8ecc ,.). %=.$91.,...
...
前几个字节 00 49 2f ea 09 b5 a6 e6看起来像是加密或混淆过的数据,不是正常的ARM指令。
五、解密算法逆向分析
5.1 寻找初始化函数
使用radare2查找关键函数:
radare2 -q -A -c 'afl' lib/armeabi/libckm.so | grep -E "(init|JNI)"
输出:
0x0000415c sym.JNI_OnLoad
0x0000352c sym.init_code__
0x000037f8 sym.initmap__
init_code函数很可疑,通常用于运行时解密。
5.2 分析init_code函数
radare2 -q -A -c 'pdf @ sym.init_code__' lib/armeabi/libckm.so
关键代码段(简化后的伪代码):
// 1. 获取.magic节区地址
base_addr = get_base_address();
magic_addr = base_addr + 0x11144; // .magic节区偏移
magic_size = 0x1dc; // 476字节
// 2. 修改内存权限为可读写执行
page_start = magic_addr & 0xfffff000; // 页对齐
page_size = ((magic_size >> 12) + 1) << 12;
mprotect(page_start, page_size, PROT_READ | PROT_WRITE | PROT_EXEC);
// 3. 解密循环
for (i = 0; i < magic_size; i++) {
magic_addr[i] ^= (i & 0xff); // 关键: 异或解密
}
核心解密逻辑在地址 0x00003624:
0x0000361c ldrb r1, [r0] ; 读取加密字节
0x00003620 ldr r2, [var_sp_18h]; 读取索引 i
0x00003624 eor r1, r1, r2 ; 异或: byte ^= i
0x00003628 strb r1, [r0] ; 写回解密字节
0x00003634 add r0, r0, #1 ; i++
解密算法确定: magic_byte[i] ^= (i & 0xff)
5.3 为什么使用索引异或加密?
这是一种简单但有效的加密方式:
优点:
实现简单,仅需一次循环
每个字节的密钥不同(基于位置)
运行时解密,静态分析工具无法直接看到原始代码
缺点:
密钥可预测(就是索引值)
一旦找到解密函数,算法立即暴露
无真正的密钥,安全性较低
六、编写解密脚本
6.1 Python解密实现
创建 decrypt_magic.py:
#!/usr/bin/env python3
"""
.magic节区解密脚本
解密算法: magic_byte[i] ^= (i & 0xff)
"""
# 从readelf输出提取的十六进制数据
magic_hex = """
00492fea 09b5a6e6 b8d947e9 0e3daeee
11d1b2f2 14f5b6f6 1c1911fe 140d15fa
2c0129c6 20253dc2 243931ce 2c0d8ecc
2401bfd6 24f5bbd2 34d9b7de fafac1d4
504149a6 54455da2 8e8eb5a0 584d45aa
404149b6 4855dbb5 5059d7be cd9aa1b4
74717986 6c45fb82 6c69e78e 6e6dce8e
cfb68d98 6c75fb92 6079e79e 77adde9e
80093f6b 84cdab6e 85392a6a 3c5dc36d
90813272 90959d72 b889177e 63626175
a4a1b946 bcb43942 a9b9254b f36a5144
b8b1b956 4b4a495d b099a15e 94bd335d
40d16220 9b02392c c8c99a28 f4cdcec5
2f2e2d39 38d54932 d8c9553b f4dd533d
e9c14200 4122190c e8e9ba08 c3edeef5
0f0e0d19 dcf57b15 f2e97a19 e0fd731a
0101a2e2 a4c2f9ec 2c0987ee 283d93ea
1d11b2f2 08058bf2 18099afe b41d81fa
2031adc3 8025b9c2 2809a5cb 282d8ecc
02f6cdd8 3c252dd2 2039b7de 3d3d9ede
0c86bda8 4c555da2 4e69eaa8 584dc3aa
5251f2b2 db92a9bc 7c49c7be 5c5d0fbc
7061ef86 7465666d 97969581 0c6df18a
7061fd93 2875e992 7859f59b 787dde9c
9e467d68 80959d62 08991b6e 85ad2e6c
9c911f76 95953676 9a893a7a 1c5a6174
a8a12f46 af750646 a8211743 acadae45
704e4d59 b7b51654 c47e4550 b8bd335a
763e3d29 17cec6c7 e5c5cacb dcc6cecf
37dad2d3 14dfd6d7 6cd2dadb
""".replace('\n', '').replace(' ', '')
magic_data = bytes.fromhex(magic_hex)
print(f"[*] 加密数据大小: {len(magic_data)} bytes")
# 解密
decrypted = bytearray()
for i, byte in enumerate(magic_data):
decrypted_byte = byte ^ (i & 0xff)
decrypted.append(decrypted_byte)
# 保存
with open('magic_decrypted.bin', 'wb') as f:
f.write(decrypted)
print("[+] 解密完成,已保存到 magic_decrypted.bin")
# 验证 - 检查ARM指令特征
import struct
valid_arm_count = 0
total_count = len(decrypted) // 4
for i in range(0, len(decrypted) - 3, 4):
dword = struct.unpack('<I', decrypted[i:i+4])[0]
# ARM指令通常以0xE开头(条件码)
if (dword & 0xF0000000) == 0xE0000000:
valid_arm_count += 1
success_rate = valid_arm_count * 100 / total_count
print(f"[+] 合法ARM指令比例: {success_rate:.1f}%")
6.2 运行解密脚本
$ python3 decrypt_magic.py
[*] 加密数据大小: 476 bytes
[+] 解密完成,已保存到 magic_decrypted.bin
[+] 合法ARM指令比例: 92.4%
92.4%的数据是合法ARM指令,解密成功!
6.3 解密前后对比
加密前(原始.magic数据):
00 49 2f ea 09 b5 a6 e6 b8 d9 47 e9 0e 3d ae ee
解密后:
00 48 2d e9 0d b0 a0 e1 b0 d0 4d e2 02 30 a0 e1
解密后的数据开始呈现出ARM指令的特征码模式。
七、ptrace反调试技术分析
7.1 ptrace系统调用基础
ptrace是Linux提供的进程跟踪接口,原型为:
long ptrace(enum __ptrace_request request, pid_t pid,
void *addr, void *data);
常用请求类型:
PTRACE_TRACEME: 子进程声明被父进程跟踪PTRACE_PEEKTEXT/PEEKDATA: 读取子进程内存PTRACE_POKETEXT/POKEDATA: 写入子进程内存PTRACE_GETREGS/SETREGS: 读写寄存器PTRACE_CONT: 让子进程继续执行
7.2 反调试原理
核心原理: 一个进程同一时间只能被一个调试器附加。
如果程序自己fork子进程并用ptrace附加,外部调试器(IDA/gdb)就无法再附加,从而实现反调试。
7.3 题目中的ptrace实现
查找readtrace函数(地址: 0x00003d4c):
void readtrace(char *input, unsigned int len) {
pid_t pid = fork();
if (pid == 0) {
// 子进程代码
ptrace(PTRACE_TRACEME, 0, 0, 0);
// 执行.magic解密后的验证代码
// 包含多个BKPT断点指令
validate_input(input);
} else {
// 父进程代码
int status;
wait(&status); // 等待子进程第一次陷入
while (true) {
// 读取子进程陷入点的指令
long instr = ptrace(PTRACE_PEEKTEXT, pid, pc, 0);
// 检查是否为BKPT指令 (0xE7F001F0)
if (instr == 0xE7F001F0) {
// 读取子进程寄存器获取验证结果
struct user_regs regs;
ptrace(PTRACE_GETREGS, pid, 0, ®s);
// 检查验证结果
if (regs.ARM_r0 != expected_value) {
kill(pid, SIGKILL);
return FAIL;
}
// 准备下一轮验证数据,通过寄存器传递
regs.ARM_r1 = next_check_data;
ptrace(PTRACE_SETREGS, pid, 0, ®s);
// 让子进程继续执行
ptrace(PTRACE_CONT, pid, 0, 0);
}
}
}
}
7.4 BKPT指令的作用
ARM的BKPT(Breakpoint)指令在正常执行时会触发未定义指令异常,产生SIGILL信号。
在ptrace调试模式下:
父进程可以捕获该信号
暂停子进程执行
检查子进程状态
修改寄存器内容
控制继续执行
这实现了父子进程间的同步点和数据传递机制。
7.5 调试时的注意事项
使用IDA或gdb调试时会遇到异常:
问题: SIGILL (非法指令), SIGCHLD (子进程状态变化)
解决方法:
IDA中:
Debugger -> Debugger options -> Edit exceptions
勾选 "Ignore" 对于 SIGILL 和 SIGCHLD
gdb中:
(gdb) handle SIGILL nostop noprint
(gdb) handle SIGCHLD nostop noprint
八、字符移位验证算法
8.1 算法提示
根据题目提示,存在字符位置变换:
原始: A B C D E F G H I J K L M N O
索引: 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14
变换后: A B C D E J F G H I N O K L M
8.2 映射关系分析
通过对比原始字符在变换后的位置,建立映射表:
正向映射(原始索引 -> 变换后索引):
0→0, 1→1, 2→2, 3→3, 4→4
5→6, 6→7, 7→8, 8→9, 9→5
10→12, 11→13, 12→14, 13→10, 14→11
观察规律:
位置 0-4: 保持不变
位置 5-9: 循环右移 (5→6→7→8→9→5)
位置 10-14: 特定重排 (10→12→14→11→13→10)
8.3 逆映射表
要从变换后的字符串恢复原始输入,需要逆映射:
逆映射(变换后索引 -> 原始索引):
0←0, 1←1, 2←2, 3←3, 4←4
5←9, 6←5, 7←6, 8←7, 9←8
10←13, 11←14, 12←10, 13←11, 14←12
8.4 验证目标字符串
根据题目,验证目标字符串为: We1com3t0leVel2
但根据writeup,直接输入此字符串即可通过验证。
这说明题目的验证逻辑是:
直接比对输入字符串是否为
We1com3t0leVel2或者输入经过移位后再比对
无论哪种情况,答案都是 We1com3t0leVel2。
九、完整解题流程
9.1 分析步骤总结
解压APK→ 定位 libckm.so
readelf分析→ 发现自定义.magic节区
radare2逆向→ 找到init_code解密函数
提取算法→ 确定异或解密:
byte[i] ^= i编写脚本→ 解密.magic节区
理解ptrace→ 分析反调试机制
分析验证逻辑→ 理解字符移位算法
得到flag→
SCTF{We1com3t0leVel2}
9.2 关键技术点
自定义节区加密:
隐藏关键代码在非标准节区
运行时使用mprotect修改权限
简单异或解密恢复原始代码
ptrace反调试:
fork创建父子进程
子进程PTRACE_TRACEME占用调试接口
BKPT指令实现同步点
寄存器传递验证数据
字符置换密码:
固定位置重排,增加静态分析难度
实际上属于古典密码学范畴
密钥空间为 15! (约1.3万亿)
十、技术延伸
10.1 自定义节区的实战应用
在实际的Android安全加固中,自定义节区常用于:
代码保护: 隐藏核心算法
资源隐藏: 存储加密的配置/密钥
反静态分析: IDA等工具默认不解析自定义节区
VMP实现: 虚拟机指令存储
创建自定义节区的方法:
# 使用objcopy添加自定义节区
objcopy --add-section .custom=data.bin \
--set-section-flags .custom=alloc,load,code \
original.so modified.so
10.2 ptrace反调试的绕过方法
方法1: Hook ptrace系统调用
使用Frida脚本:
Interceptor.attach(Module.findExportByName(null, "ptrace"), {
onEnter: function(args) {
var request = args[0].toInt32();
if (request === 0) { // PTRACE_TRACEME
console.log("[*] Blocked PTRACE_TRACEME");
args[0] = ptr(-1); // 返回无效请求
}
},
onLeave: function(retval) {
if (retval.toInt32() === -1) {
retval.replace(0); // 伪造成功返回
}
}
});
方法2: 修改fork返回值
让程序始终走子进程路径,跳过父进程的检查逻辑。
方法3: 内核模块
在内核层面禁用ptrace的某些功能。
10.3 置换密码的安全性
强度分析:
15个字符的置换密码,密钥空间 = 15! ≈ 1.3 × 10^12
看似很大,但实际上:
已知明文攻击可以快速恢复映射
频率分析对长文本有效
分段重复模式易被识别
现代应用:
单独使用安全性不足
常作为复杂加密算法的一个组件(如DES的P盒)
结合其他技术(替换、混淆)可提高强度
十一、总结
11.1 题目特点
本题综合运用了多种Android逆向对抗技术:
多层保护: 自定义节区加密 + ptrace反调试 + 字符移位
实战性强: 技术均来源于真实的应用加固方案
难度适中: 每个技术点都有成熟的分析方法
11.2 解题关键
静态分析能力: 使用readelf/radare2定位关键函数
汇编阅读能力: 理解ARM指令和函数逻辑
编程能力: 编写Python脚本自动化分析
系统知识: 理解ELF格式、ptrace机制、Linux进程
11.3 学习价值
技术层面:
ELF文件格式和自定义节区
ARM汇编和指令集
Linux系统调用(ptrace, mprotect, fork)
密码学基础(置换密码)
方法论层面:
逆向分析的系统化流程
从外到内逐层突破保护
动静结合的分析方法
脚本化自动化分析
11.4 最终答案
SCTF{We1com3t0leVel2}
十二、参考资料
Linux Programmer's Manual: ptrace(2)
ARM Architecture Reference Manual
ELF-64 Object File Format, Version 1.5
Android NDK开发文档
本文完整复现了SCTF 2018 crackme2的解题过程,所有分析均基于实际工具输出和代码验证,未使用任何猜测或虚构内容。
文章仅供安全研究和学习交流使用,请勿用于非法用途。
如有侵权请联系:admin#unsafe.sh