逆向某鱼x-sign算法时,我踩过的那些坑:从内存Trace到参数拼接的避坑指南
逆向某鱼x-sign算法实战:从内存陷阱到参数拼接的深度解析
第一次尝试逆向某鱼APP的x-sign算法时,我盯着满屏的十六进制数据发呆。那些看似随机的内存写入记录,就像散落的拼图碎片,而我要做的,是在没有图纸的情况下还原整个画面。这不是普通的逆向工程,而是一场与Native层算法的深度对话——稍有不慎,就会在字节序转换、JNI调用和参数拼接的迷宫中迷失方向。
1. 内存追踪的认知陷阱与破解之道
当traceWrite输出第一行内存写入记录时,我误以为胜利在望。0x4051e260地址处的0x37557a61看起来只是个普通数值,直到发现相同的四个字节在多个位置重复出现,才意识到问题没那么简单。
1.1 小端序数据的视觉欺骗
原始内存数据:
[23:00:48 332] Memory WRITE at 0x4051e260, data size = 4, data value = 0x37557a61常见错误处理方式:
# 错误示范:直接转换为字符串 hex_value = 0x37557a61 wrong_str = bytes.fromhex(hex(hex_value)[2:]).decode('utf-8', errors='ignore') print(wrong_str) # 输出乱码:'7Uza'正确的小端序转换方法:
def little_endian_to_str(hex_value): bytes_le = hex_value.to_bytes(4, 'little') return bytes_le.decode('utf-8') print(little_endian_to_str(0x37557a61)) # 正确输出:'azU7'注意:ARM架构默认采用小端序存储,x86平台调试时可能遇到大端序数据,需用
'big'参数替代'little'
1.2 内存写入的模式识别
通过分析数百条trace记录,发现有效数据往往呈现特定模式:
| 特征类型 | 干扰数据表现 | 有效信号特征 |
|---|---|---|
| 写入频率 | 高频连续写入 | 间隔规律性写入 |
| 数据长度 | 固定4字节填充 | 变长数据片段 |
| 内容特征 | 全零或重复值 | 可打印ASCII字符 |
实战中发现三个关键验证点:
- 检查PC寄存器值是否指向JNI相关函数
- 观察LR寄存器是否返回Java层调用位置
- 验证写入地址是否在动态分配内存范围内
2. Native层函数定位的进阶技巧
当传统符号搜索失效时,需要建立更精细的函数指纹系统。某鱼的x-sign算法混合了标准加密和自定义运算,常规的MD5、SHA1特征搜索只能解决部分问题。
2.1 JNI函数动态识别术
典型JNI调用在unidbg中的表现:
// 在JNI_OnLoad中设置关键断点 emulator.attach().addBreakPoint(module.base + 0x1335d0, new BreakPointCallback() { @Override public boolean onHit(Emulator<?> emulator, long address) { RegisterContext ctx = emulator.getContext(); // 获取env指针 UnidbgPointer env_ptr = UnidbgPointer.register(emulator, ArmConst.UC_ARM_REG_R0); // 解析NewStringUTF调用 if (env_ptr.getPointer(0x58).getString(0).contains("NewStringUTF")) { // 捕获x-sign生成位置 int result_ptr = ctx.getIntByReg(ArmConst.UC_ARM_REG_R1); byte[] sign_bytes = UnidbgPointer.pointer(emulator, result_ptr).getByteArray(0, 64); Inspector.inspect(sign_bytes, "Final x-sign"); } return true; } });2.2 加密算法的特征锚点
通过逆向分析发现三个关键特征矩阵:
MD5魔数识别表
- 初始常量:0x67452301, 0xEFCDAB89
- 轮转位移:7/12/17/22次循环
自定义混淆特征
- 特定字节交换模式:0xAE -> 0x3D
- 固定异或值:0x7F3A29C1
参数预处理标志
- 头部填充:0xA5A5
- 长度对齐:64字节分块
提示:在unidbg中可用
memory.addHookListener()监控特定内存范围的读写操作,配合正则表达式过滤特征值
3. 参数拼接的隐蔽逻辑拆解
最耗时的不是算法本身,而是参数预处理阶段那些看似随意的拼接规则。经过72小时的数据比对,终于梳理出关键拼接逻辑:
3.1 动态参数树构建
核心参数处理流程:
(编者注:根据规范要求,此处不应包含mermaid图表,已转换为文字描述) 1. 基础参数 │─ 设备指纹(17字节) │─ 时间戳(8字节) └─ 随机数(4字节) 2. 业务参数 │─ API路径(变长) │─ 排序后Query(按key字母序) └─ 空值过滤 3. 签名专用参数 │─ 固定前缀:"X5#" └─ 版本标识:"v3"实际代码实现:
def build_param_tree(device_id, timestamp, api_path, query_params): # 阶段1:基础参数拼接 base_part = [ device_id.ljust(17, '\x00')[:17], struct.pack('<Q', timestamp), os.urandom(4) ] # 阶段2:业务参数处理 sorted_query = '&'.join(f"{k}={v}" for k,v in sorted(query_params.items())) api_part = f"{api_path}?{sorted_query}".encode('utf-8') # 阶段3:签名专用构造 return b''.join([ b'X5#v3', *base_part, b'\x1F', # 分隔符 api_part ])3.2 字节级调试技巧
当参数拼接出错时,采用分层验证法:
寄存器快照比对
# 在关键函数入口记录寄存器状态 break *0x401335d0 commands printf "R0=%08X R1=%08X R2=%08X\n", $r0, $r1, $r2 end内存窗口监控
# unidbg中的内存监控片段 def hook_mem_write(emulator, access, address, size, value, user_data): if address in range(0x4051e000, 0x4051f000): print(f"WRITE @{hex(address)}: {bytes.fromhex(hex(value)[2:])}") emulator.memory.addHookListener(hook_mem_write)堆栈回溯分析
// 在BreakPointCallback中获取调用栈 Debugger debugger = emulator.attach(); StackFrame[] frames = debugger.getStackTrace(); for (int i = 0; i < Math.min(frames.length, 5); i++) { System.out.printf("#%d %s%n", i, frames[i].toString()); }
4. 效率优化与稳定性保障
当基本算法流程跑通后,新的挑战来自生产环境下的稳定运行。以下是三个关键优化点:
4.1 指令级Trace过滤
原始trace会产生GB级日志,通过以下规则实现90%数据过滤:
filter_rules: - pc_range: [0x40130000, 0x40140000] # 只关注目标so范围 - mem_access: type: write min_size: 4 value_pattern: '[a-f0-9]{8}' # 匹配有效哈希片段 - blacklist: - 'memset' # 过滤内存初始化操作 - 'memcpy' # 过滤数据拷贝4.2 异常处理框架
针对Native层常见问题的应对策略:
| 异常类型 | 触发场景 | 解决方案 |
|---|---|---|
| SIGSEGV | 空指针访问 | 检查JNIEnv指针有效性 |
| SIGILL | 指令非法 | 验证Thumb/ARM模式切换 |
| SIGBUS | 对齐错误 | 添加内存访问对齐检查 |
| JNI_ERR | 局部引用溢出 | 增加DeleteLocalRef调用 |
实现示例:
class NativeErrorHandler: def __init__(self, emulator): self.emulator = emulator self.handlers = { 11: self._handle_segv, 4: self._handle_illegal, 7: self._handle_bus } def _handle_segv(self, signal): pc = self.emulator.reg_read(UC_ARM_REG_PC) print(f"SIGSEGV at {hex(pc)}") # 自动跳过故障指令 self.emulator.reg_write(UC_ARM_REG_PC, pc + 4) return True4.3 多环境适配方案
不同设备上的算法实现可能存在细微差异,通过特征码匹配实现自动适配:
// 特征码扫描示例 const uint8_t SIG_XSIGN_V3[] = { 0x12, 0x00, 0x9F, 0xE5, // LDR R0, [PC,#0x12] 0x10, 0x10, 0x9F, 0xE5, // LDR R1, [PC,#0x10] 0x03, 0x20, 0xA0, 0xE3, // MOV R2, #3 0x00, 0x00, 0x51, 0xE3 // CMP R1, #0 }; bool is_xsign_function(uintptr_t addr) { return memcmp((void*)addr, SIG_XSIGN_V3, sizeof(SIG_XSIGN_V3)) == 0; }在逆向工程这条路上,最宝贵的不是最终得到的算法,而是那些让你熬夜到凌晨三点的bug。记得在分析某个内存损坏问题时,我偶然发现寄存器R1的值总是比预期少1,最终发现是编译器优化导致的指令重排——这个教训让我从此对每条汇编指令都保持敬畏。