BinaryNinja分析libmtguard.so字符串加密与间接跳转混淆<\/h1>

前言<\/h2>
本文详细讲解如何使用BinaryNinja分析某外卖应用的`libmtguard.so<\/code>文件，重点解决两种常见的混淆技术：字符串加密和基于ret的间接跳转。这些技术在安卓native层加固中非常常见，会严重干扰静态分析过程。<\/p>`

字符串加密分析<\/h2>
加密函数识别<\/h3>
在分析目标so文件时，我们发现函数sub_25d14<\/code>负责字符串解密，其特征如下：<\/p>


参数<\/strong>：<\/p>

第一个参数(x0)：存放解密后的字符串<\/li>
第二个参数(x1)：加密的字符串<\/li>
第三个参数(x2)：密钥<\/li>
第四个参数(x3)：长度<\/li>
<\/ul>
<\/li>

解密逻辑<\/strong>：简单的密文与密钥异或操作<\/p>
<\/li>
<\/ul>
解密脚本编写<\/h3>
由于加密字符串数量众多，需要编写自动化脚本进行批量解密。关键注意事项：<\/p>

在执行bl sub_25d14<\/code>之前不能有其他跳转指令<\/li>
第一个参数(x0)必须被正确赋值<\/li>
使用Unicorn引擎模拟执行解密过程<\/li>
<\/ol>
示例脚本结构：<\/p>
def<\/span> decrypt_string<\/span>(bv, addr):
<\/span><\/span>    # 初始化Unicorn引擎<\/span>
<\/span><\/span>    mu =<\/span> Uc(UC_ARCH_ARM64, UC_MODE_ARM)
<\/span><\/span>    
<\/span><\/span>    # 设置内存和寄存器状态<\/span>
<\/span><\/span>    # ...<\/span>
<\/span><\/span>    
<\/span><\/span>    # 模拟执行解密函数<\/span>
<\/span><\/span>    mu.<\/span>emu_start(decrypt_func_addr, decrypt_func_end)
<\/span><\/span>    
<\/span><\/span>    # 读取解密后的字符串<\/span>
<\/span><\/span>    decrypted =<\/span> mu.<\/span>mem_read(decrypted_ptr, length)
<\/span><\/span>    return<\/span> decrypted
<\/span><\/span><\/code><\/pre>基于ret的间接跳转分析<\/h2>
间接跳转函数分析<\/h3>
函数sub_25d44<\/code>负责间接跳转，IDA中表现为大量爆红区域。BinaryNinja的Low Level IL分析显示其逻辑：<\/p>

从x30(链接寄存器)指向的地址加载数据到w0<\/li>
使用zx.q(w0)<\/code>将w0扩展为64位<\/li>
左移2位<\/li>
计算跳转地址：x30 + (w0 << 2)<\/code><\/li>
最终跳转地址为x30加上计算出的偏移<\/li>
<\/ol>
跳转目标计算示例<\/h3>
以JNI_OnLoad为例：<\/p>

通过bl<\/code>指令将x30设置为0x249c8<\/code><\/li>
x0被赋值为3<\/li>
计算跳转地址：0x249c8 + (3 << 2) = 0x249c8 + 0xC = 0x249D4<\/code><\/li>
<\/ol>
去混淆脚本编写<\/h3>
编写deindbr<\/code>函数进行patch处理：<\/p>

获取所有跳转到0x25d44<\/code>的引用<\/li>
获取所有跳板(如b 0x249c4<\/code>)的引用<\/li>
模拟执行计算实际跳转地址<\/li>
将跳转地址patch到跳板位置<\/li>
<\/ol>
关键注意事项：<\/p>

B指令构造<\/strong>：跳转地址需要减去当前指令地址，因为B指令是相对跳转<\/li>
计算公式：目标地址 = (当前指令地址 + 8) + (立即数 * 4)<\/code><\/li>
处理异常情况：过滤br<\/code>寄存器类型的引用<\/li>
<\/ul>
示例脚本结构：<\/p>
def<\/span> deindbr<\/span>(bv):
<\/span><\/span>    # 获取所有跳转到间接跳转函数的引用<\/span>
<\/span><\/span>    refs =<\/span> get_call_references(bv, 0x25d44<\/span>)
<\/span><\/span>    
<\/span><\/span>    for<\/span> ref in<\/span> refs:
<\/span><\/span>        # 获取跳板地址<\/span>
<\/span><\/span>        trampoline_addr =<\/span> get_trampoline(ref)
<\/span><\/span>        
<\/span><\/span>        # 模拟执行计算跳转目标<\/span>
<\/span><\/span>        target =<\/span> simulate_jump(bv, ref)
<\/span><\/span>        
<\/span><\/span>        # 构造并patch B指令<\/span>
<\/span><\/span>        patch_b_instruction(bv, trampoline_addr, target)
<\/span><\/span><\/code><\/pre>多次运行脚本<\/h3>
由于BinaryNinja不会像IDA那样一次性反编译所有代码，可能需要多次运行脚本直到没有新的地址被patch。<\/p>
结果验证<\/h2>
完成patch后：<\/p>

JNI_OnLoad等函数的执行流已恢复<\/li>
IDA中仅剩br<\/code>寄存器类型的混淆(将在后续文章中分析)<\/li>
可以正常进行后续分析<\/li>
<\/ol>
总结<\/h2>
BinaryNinja配合Unicorn引擎能有效处理native层混淆：<\/p>

字符串加密<\/strong>：通过模拟执行解密函数批量恢复字符串<\/li>
间接跳转<\/strong>：通过分析跳转逻辑并patch跳板指令恢复执行流<\/li>
后续工作<\/strong>：需要恢复符号信息，结合Frida、unidbg等工具进行更深入的分析<\/li>
<\/ol>
这种方法比传统IDA分析更加灵活高效，特别适合处理现代安卓应用中的复杂混淆技术。<\/p>

BinaryNinja分析libmtguard.so字符串加密与间接跳转混淆<\/h1>

前言<\/h2> 本文详细讲解如何使用BinaryNinja分析某外卖应用的libmtguard.so<\/code>文件，重点解决两种常见的混淆技术：字符串加密和基于ret的间接跳转。这些技术在安卓native层加固中非常常见，会严重干扰静态分析过程。<\/p>

基于ret的间接跳转分析<\/h2>

多次运行脚本<\/h3> 由于BinaryNinja不会像IDA那样一次性反编译所有代码，可能需要多次运行脚本直到没有新的地址被patch。<\/p>

前言<\/h2>
本文详细讲解如何使用BinaryNinja分析某外卖应用的`libmtguard.so<\/code>文件，重点解决两种常见的混淆技术：字符串加密和基于ret的间接跳转。这些技术在安卓native层加固中非常常见，会严重干扰静态分析过程。<\/p>`

多次运行脚本<\/h3>
由于BinaryNinja不会像IDA那样一次性反编译所有代码，可能需要多次运行脚本直到没有新的地址被patch。<\/p>