introduction
In fine Martii sumus , occultam facultatem onerandi et detegendi in UC Browser. Hodie singillatim quaeremus quomodo haec download fiat et quomodo hackers ea uti possit ad suos usus.
Dudum UC Pasco proscripta est et valde infensi distributa est: in machinationibus utentis malware utentis, ex variis locis sub specie imaginum imaginum distributum (i.e., usores putabant se deicientes, exempli gratia, video porn, sed loco APK cum hoc navigatro accepit), vexilla scaryifera adhibita cum nuntiis ut navigatrum iam obsoletum, vulnerabile et quasi materiatum esse. In coetus officialis UC Pasco in VK est in quibus de ini vendo utentes queri possunt, multa ibi exempla sunt. In MMXVI factum est in Russian (sic, vendo pro navigatro ad-obstructione).
Tempus scribendi, UC Pasco supra 500 officinas in Google Play habet. Hoc est grave - Google Chrome solum plus habet. Inter recognitiones satis multam querelis videre potes de vendendis et redigendis ad aliquas applicationes in Google Play. Haec fuit causa inquisitionis nostrae: decrevimus videre si UC Pasco aliquid mali ageret. Et quod evenit facit!
In codice schedula schedula inventa est facultas demittendi et currendi exsecutabile codicem. in Google Play. Praeter codicem exsecutabile deprimendum, UC Pasco hoc modo incerto facit, quod ad impetum MitM immittendi adhiberi potest. Videamus an tale impetum facere possimus.
Omnia infra scripta spectantia ad versionem UC Pascoris quae in Google Play tempore studii praesto fuit:
package: com.UCMobile.intl
versionName: 12.10.8.1172
versionCode: 10598
sha1 APK-ΡΠ°ΠΉΠ»Π°: f5edb2243413c777172f6362876041eb0c3a928cimpetum vector
In UC Pasco manifestare potes officium invenire cum nomine proprio explanatorio com.uc.deployment.UpgradeDeployService.
<service android_exported="false" android_name="com.uc.deployment.UpgradeDeployService" android_process=":deploy" />
Cum hoc officium incipit, navigatrum postulationem facit quae in mercatura aliquanto post initium videri possunt. Respondens mandatum accipere potest ut renovationem aliquam vel novi moduli exsequatur. In analysi, server talia mandata non dedit, sed animadvertimus nos, cum PDF in navigatro aperire conamur, alteram petitionem facere cum inscriptione supra determinata, post quam bibliothecam indigenam incidit. Ad oppugnationem exsequendam, hoc notam UC Browser uti decrevimus: facultas aperiendi PDF utendi bibliothecam indigenam, quae non est in APK et quod de Interrete, si necesse est, deprimit. Notatu dignum est theoretice, UC Pasco posse cogi aliquid usoris sine commercio ad download - si responsio ad petitionem bene formatam praebes, quae post navigatrum immissa est. Sed ut hoc facere debeamus, protocollum commercii cum ministris accuratius studere debemus, quo facilius responsum interceptum recensere et bibliothecam cum PDFe operandi reponere decrevimus.
Itaque, cum user se PDF in navigatro aperire vult, petitiones sequentes in negotiatione videri possunt:
Primum est Post petitionem to ergo
Archivum cum bibliotheca inspiciendi PDF et officii formas recepta est. Consentaneum est quod prima petitio informationes transmittit de systemate (saltem architecturae ad bibliothecam requisitam praebendam), et in responsione ad eam navigatrum aliquas informationes accipit de bibliotheca, quae deponi debet: inscriptione et fortasse , Cetera. Problema est hanc petitionem encrypted.
Petitio fragmentum
Responde fragmentum
Bibliotheca ipsa in cursualis fasciculi facta est nec encrypted.
Search for negotiationis decryption code
Let's try to queat servo responsionem. Intueamur in codice genere com.uc.deployment.UpgradeDeployService: Ex methodo onStartCommand ire com.uc.deployment.bxet ex eo ad com.uc.browser.core.dcfe:
public final void e(l arg9) {
int v4_5;
String v3_1;
byte[] v3;
byte[] v1 = null;
if(arg9 == null) {
v3 = v1;
}
else {
v3_1 = arg9.iGX.ipR;
StringBuilder v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]product:");
v4.append(arg9.iGX.ipR);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]version:");
v4.append(arg9.iGX.iEn);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]upgrade_type:");
v4.append(arg9.iGX.mMode);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]force_flag:");
v4.append(arg9.iGX.iEo);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]silent_mode:");
v4.append(arg9.iGX.iDQ);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]silent_type:");
v4.append(arg9.iGX.iEr);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]silent_state:");
v4.append(arg9.iGX.iEp);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]silent_file:");
v4.append(arg9.iGX.iEq);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apk_md5:");
v4.append(arg9.iGX.iEl);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]download_type:");
v4.append(arg9.mDownloadType);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]download_group:");
v4.append(arg9.mDownloadGroup);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]download_path:");
v4.append(arg9.iGH);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apollo_child_version:");
v4.append(arg9.iGX.iEx);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apollo_series:");
v4.append(arg9.iGX.iEw);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apollo_cpu_arch:");
v4.append(arg9.iGX.iEt);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apollo_cpu_vfp3:");
v4.append(arg9.iGX.iEv);
v4 = new StringBuilder("[");
v4.append(v3_1);
v4.append("]apollo_cpu_vfp:");
v4.append(arg9.iGX.iEu);
ArrayList v3_2 = arg9.iGX.iEz;
if(v3_2 != null && v3_2.size() != 0) {
Iterator v3_3 = v3_2.iterator();
while(v3_3.hasNext()) {
Object v4_1 = v3_3.next();
StringBuilder v5 = new StringBuilder("[");
v5.append(((au)v4_1).getName());
v5.append("]component_name:");
v5.append(((au)v4_1).getName());
v5 = new StringBuilder("[");
v5.append(((au)v4_1).getName());
v5.append("]component_ver_name:");
v5.append(((au)v4_1).aDA());
v5 = new StringBuilder("[");
v5.append(((au)v4_1).getName());
v5.append("]component_ver_code:");
v5.append(((au)v4_1).gBl);
v5 = new StringBuilder("[");
v5.append(((au)v4_1).getName());
v5.append("]component_req_type:");
v5.append(((au)v4_1).gBq);
}
}
j v3_4 = new j();
m.b(v3_4);
h v4_2 = new h();
m.b(v4_2);
ay v5_1 = new ay();
v3_4.hS("");
v3_4.setImsi("");
v3_4.hV("");
v5_1.bPQ = v3_4;
v5_1.bPP = v4_2;
v5_1.yr(arg9.iGX.ipR);
v5_1.gBF = arg9.iGX.mMode;
v5_1.gBI = arg9.iGX.iEz;
v3_2 = v5_1.gAr;
c.aBh();
v3_2.add(g.fs("os_ver", c.getRomInfo()));
v3_2.add(g.fs("processor_arch", com.uc.b.a.a.c.getCpuArch()));
v3_2.add(g.fs("cpu_arch", com.uc.b.a.a.c.Pb()));
String v4_3 = com.uc.b.a.a.c.Pd();
v3_2.add(g.fs("cpu_vfp", v4_3));
v3_2.add(g.fs("net_type", String.valueOf(com.uc.base.system.a.Jo())));
v3_2.add(g.fs("fromhost", arg9.iGX.iEm));
v3_2.add(g.fs("plugin_ver", arg9.iGX.iEn));
v3_2.add(g.fs("target_lang", arg9.iGX.iEs));
v3_2.add(g.fs("vitamio_cpu_arch", arg9.iGX.iEt));
v3_2.add(g.fs("vitamio_vfp", arg9.iGX.iEu));
v3_2.add(g.fs("vitamio_vfp3", arg9.iGX.iEv));
v3_2.add(g.fs("plugin_child_ver", arg9.iGX.iEx));
v3_2.add(g.fs("ver_series", arg9.iGX.iEw));
v3_2.add(g.fs("child_ver", r.aVw()));
v3_2.add(g.fs("cur_ver_md5", arg9.iGX.iEl));
v3_2.add(g.fs("cur_ver_signature", SystemHelper.getUCMSignature()));
v3_2.add(g.fs("upgrade_log", i.bjt()));
v3_2.add(g.fs("silent_install", String.valueOf(arg9.iGX.iDQ)));
v3_2.add(g.fs("silent_state", String.valueOf(arg9.iGX.iEp)));
v3_2.add(g.fs("silent_file", arg9.iGX.iEq));
v3_2.add(g.fs("silent_type", String.valueOf(arg9.iGX.iEr)));
v3_2.add(g.fs("cpu_archit", com.uc.b.a.a.c.Pc()));
v3_2.add(g.fs("cpu_set", SystemHelper.getCpuInstruction()));
boolean v4_4 = v4_3 == null || !v4_3.contains("neon") ? false : true;
v3_2.add(g.fs("neon", String.valueOf(v4_4)));
v3_2.add(g.fs("cpu_cores", String.valueOf(com.uc.b.a.a.c.Jl())));
v3_2.add(g.fs("ram_1", String.valueOf(com.uc.b.a.a.h.Po())));
v3_2.add(g.fs("totalram", String.valueOf(com.uc.b.a.a.h.OL())));
c.aBh();
v3_2.add(g.fs("rom_1", c.getRomInfo()));
v4_5 = e.getScreenWidth();
int v6 = e.getScreenHeight();
StringBuilder v7 = new StringBuilder();
v7.append(v4_5);
v7.append("*");
v7.append(v6);
v3_2.add(g.fs("ss", v7.toString()));
v3_2.add(g.fs("api_level", String.valueOf(Build$VERSION.SDK_INT)));
v3_2.add(g.fs("uc_apk_list", SystemHelper.getUCMobileApks()));
Iterator v4_6 = arg9.iGX.iEA.entrySet().iterator();
while(v4_6.hasNext()) {
Object v6_1 = v4_6.next();
v3_2.add(g.fs(((Map$Entry)v6_1).getKey(), ((Map$Entry)v6_1).getValue()));
}
v3 = v5_1.toByteArray();
}
if(v3 == null) {
this.iGY.iGI.a(arg9, "up_encode", "yes", "fail");
return;
}
v4_5 = this.iGY.iGw ? 0x1F : 0;
if(v3 == null) {
}
else {
v3 = g.i(v4_5, v3);
if(v3 == null) {
}
else {
v1 = new byte[v3.length + 16];
byte[] v6_2 = new byte[16];
Arrays.fill(v6_2, 0);
v6_2[0] = 0x5F;
v6_2[1] = 0;
v6_2[2] = ((byte)v4_5);
v6_2[3] = -50;
System.arraycopy(v6_2, 0, v1, 0, 16);
System.arraycopy(v3, 0, v1, 16, v3.length);
}
}
if(v1 == null) {
this.iGY.iGI.a(arg9, "up_encrypt", "yes", "fail");
return;
}
if(TextUtils.isEmpty(this.iGY.mUpgradeUrl)) {
this.iGY.iGI.a(arg9, "up_url", "yes", "fail");
return;
}
StringBuilder v0 = new StringBuilder("[");
v0.append(arg9.iGX.ipR);
v0.append("]url:");
v0.append(this.iGY.mUpgradeUrl);
com.uc.browser.core.d.c.i v0_1 = this.iGY.iGI;
v3_1 = this.iGY.mUpgradeUrl;
com.uc.base.net.e v0_2 = new com.uc.base.net.e(new com.uc.browser.core.d.c.i$a(v0_1, arg9));
v3_1 = v3_1.contains("?") ? v3_1 + "&dataver=pb" : v3_1 + "?dataver=pb";
n v3_5 = v0_2.uc(v3_1);
m.b(v3_5, false);
v3_5.setMethod("POST");
v3_5.setBodyProvider(v1);
v0_2.b(v3_5);
this.iGY.iGI.a(arg9, "up_null", "yes", "success");
this.iGY.iGI.b(arg9);
}Formationem postulationis cursoris hic videmus. Attendimus ad creationem ordinatae 16 bytarum eiusque impletionum: 0x5F, 0, 0x1F, -50 (=0xCE). Congruit cum eo quod supra vidimus in petitione.
In eodem genere videre potes genus quoddam nidificatum quod alium modum interesting habet:
public final void a(l arg10, byte[] arg11) {
f v0 = this.iGQ;
StringBuilder v1 = new StringBuilder("[");
v1.append(arg10.iGX.ipR);
v1.append("]:UpgradeSuccess");
byte[] v1_1 = null;
if(arg11 == null) {
}
else if(arg11.length < 16) {
}
else {
if(arg11[0] != 0x60 && arg11[3] != 0xFFFFFFD0) {
goto label_57;
}
int v3 = 1;
int v5 = arg11[1] == 1 ? 1 : 0;
if(arg11[2] != 1 && arg11[2] != 11) {
if(arg11[2] == 0x1F) {
}
else {
v3 = 0;
}
}
byte[] v7 = new byte[arg11.length - 16];
System.arraycopy(arg11, 16, v7, 0, v7.length);
if(v3 != 0) {
v7 = g.j(arg11[2], v7);
}
if(v7 == null) {
goto label_57;
}
if(v5 != 0) {
v1_1 = g.P(v7);
goto label_57;
}
v1_1 = v7;
}
label_57:
if(v1_1 == null) {
v0.iGY.iGI.a(arg10, "up_decrypt", "yes", "fail");
return;
}
q v11 = g.b(arg10, v1_1);
if(v11 == null) {
v0.iGY.iGI.a(arg10, "up_decode", "yes", "fail");
return;
}
if(v0.iGY.iGt) {
v0.d(arg10);
}
if(v0.iGY.iGo != null) {
v0.iGY.iGo.a(0, ((o)v11));
}
if(v0.iGY.iGs) {
v0.iGY.a(((o)v11));
v0.iGY.iGI.a(v11, "up_silent", "yes", "success");
v0.iGY.iGI.a(v11);
return;
}
v0.iGY.iGI.a(v11, "up_silent", "no", "success");
}
}
Modus ordinandi bytes ut input et cohibet ut nulla byte sit 0x60 vel tertia byte sit 0xD0, et secunda byte est 1, 11 vel 0x1F. Respicimus responsum a servo: nulla byte est 0x60, secunda est 0x1F, tertia est 0x60. Integer eget dictum quam. Rectis iudicans ("up_decrypt", exempli gratia, modus hic appellandus est qui responsionem servo minuit.
Transeamus ad modum gj. Nota quod primum argumentum est byte in cinguli 2 (i.e. 0x1F in nostro casu), et secunda responsio sine servo.
primum XVI bytes.
public static byte[] j(int arg1, byte[] arg2) {
if(arg1 == 1) {
arg2 = c.c(arg2, c.adu);
}
else if(arg1 == 11) {
arg2 = m.aF(arg2);
}
else if(arg1 != 0x1F) {
}
else {
arg2 = EncryptHelper.decrypt(arg2);
}
return arg2;
}
Videlicet hic decryptionem algorithm eligimus, eandemque byte quae in nostro est
casus = 0x1F designat unum trium optionum possibilium.
Pergimus ad codicem resolvere. Post duos saltus nos invenimus in methodo cum nomine auto-explatorio decryptBytesByKey.
Hic duo plura bytes a nostra responsione separantur, et ab illis chorda obtinetur. Patet hoc modo clavem nuntiorum minuendi seligi.
private static byte[] decryptBytesByKey(byte[] bytes) {
byte[] v0 = null;
if(bytes != null) {
try {
if(bytes.length < EncryptHelper.PREFIX_BYTES_SIZE) {
}
else if(bytes.length == EncryptHelper.PREFIX_BYTES_SIZE) {
return v0;
}
else {
byte[] prefix = new byte[EncryptHelper.PREFIX_BYTES_SIZE]; // 2 Π±Π°ΠΉΡΠ°
System.arraycopy(bytes, 0, prefix, 0, prefix.length);
String keyId = c.ayR().d(ByteBuffer.wrap(prefix).getShort()); // ΠΡΠ±ΠΎΡ ΠΊΠ»ΡΡΠ°
if(keyId == null) {
return v0;
}
else {
a v2 = EncryptHelper.ayL();
if(v2 == null) {
return v0;
}
else {
byte[] enrypted = new byte[bytes.length - EncryptHelper.PREFIX_BYTES_SIZE];
System.arraycopy(bytes, EncryptHelper.PREFIX_BYTES_SIZE, enrypted, 0, enrypted.length);
return v2.l(keyId, enrypted);
}
}
}
}
catch(SecException v7_1) {
EncryptHelper.handleDecryptException(((Throwable)v7_1), v7_1.getErrorCode());
return v0;
}
catch(Throwable v7) {
EncryptHelper.handleDecryptException(v7, 2);
return v0;
}
}
return v0;
}Prospiciens, animadvertimus hac in scaena nondum clavem esse, sed solum eius "identificantem". Questus est clavis paulo multiplex.
In altera methodo duo plura parametri entibus adduntur, ex quibus quattuor fiunt: numerus magicus XVI, clavis identificatrix, notitia encrypted, et chorda incomprehensibilis (in nostro casu vacua).
public final byte[] l(String keyId, byte[] encrypted) throws SecException {
return this.ayJ().staticBinarySafeDecryptNoB64(16, keyId, encrypted, "");
}Post transitus seriem methodi pervenimus staticBinarySafeDecryptNoB64 interface com.alibaba.wireless.security.open.staticdataencrypt.IStaticDataEncryptComponent. Nullae classes sunt in schedula praecipue codice qui hoc instrumento efficiendum. Est tale genus in tabella lib/armeabi-v7a/libsgmain.soquod non actu .so, sed .jar. Methodus quaerimus in hoc modo impletur:
package com.alibaba.wireless.security.a.i;
// ...
public class a implements IStaticDataEncryptComponent {
private ISecurityGuardPlugin a;
// ...
private byte[] a(int mode, int magicInt, int xzInt, String keyId, byte[] encrypted, String magicString) {
return this.a.getRouter().doCommand(10601, new Object[]{Integer.valueOf(mode), Integer.valueOf(magicInt), Integer.valueOf(xzInt), keyId, encrypted, magicString});
}
// ...
private byte[] b(int magicInt, String keyId, byte[] encrypted, String magicString) {
return this.a(2, magicInt, 0, keyId, encrypted, magicString);
}
// ...
public byte[] staticBinarySafeDecryptNoB64(int magicInt, String keyId, byte[] encrypted, String magicString) throws SecException {
if(keyId != null && keyId.length() > 0 && magicInt >= 0 && magicInt < 19 && encrypted != null && encrypted.length > 0) {
return this.b(magicInt, keyId, encrypted, magicString);
}
throw new SecException("", 301);
}
//...
}
Hic noster parametri index duobus integris integris suppletus est: 2 et 0. Iudicans by
omnia, 2 significat decryption, ut in modo doFinal ratio classis javax.crypto.Cipher. Et haec omnia transferuntur in certum iter per numerum 10601, quod videtur esse numerus imperativus.
Post catenam sequentem transituum genus invenimus quod instrumenti instrumenti ad effectum deducuntur IRouterComponent et methodo doCommand:
package com.alibaba.wireless.security.mainplugin;
import com.alibaba.wireless.security.framework.IRouterComponent;
import com.taobao.wireless.security.adapter.JNICLibrary;
public class a implements IRouterComponent {
public a() {
super();
}
public Object doCommand(int arg2, Object[] arg3) {
return JNICLibrary.doCommandNative(arg2, arg3);
}
}Ac etiam classis JNICLibrary, in quo nativa methodus declaratur doCommandNative:
package com.taobao.wireless.security.adapter;
public class JNICLibrary {
public static native Object doCommandNative(int arg0, Object[] arg1);
}Hoc significat methodum invenire in codice patrio doCommandNative. Et hoc est ubi incipit iocus.
Obfuscatio machinae codice
In file libsgmain.so (quod revera est .jar et in quo invenimus exsecutionem alicuius interfaces relatas modo supra), una bibliotheca indigena est: libsgmainso-6.4.36.so. In IDA aperimus et fasciculum alternis scriniorum cum erroribus possidemus. Problema est tabula sectionis capitis irrita esse. Hoc in proposito fit ut analysim inpediat.
Sed non opus est: limam ELF recte onerare et eam resolvere, satis est programma capitis mensae. Ideo tabulam sectionem simpliciter delemus, nihili respondentes agros in capite.
Aperi tabella in ISS iterum.
Duae viae sunt ad indicandam machinam virtualem Javam ubi accurate in bibliotheca vernacula exsecutionem methodi declaratae in codice Java tamquam indigena sita est. Primus est dare speciem nominis Java_package_name_ClassName_MethodName.
Secundum est eam subcriptio cum bibliothecam oneratam (in functione JNI_OnLoad)
usus munus vocationis RegisterNatives.
In nobis, si primo modo utamur, nomen tale debet esse; Java_com_taobao_wireless_security_adapter_JNICLibrary_doCommandNative.
Nulla talis functionis inter functiones exportatas, quae significatio vocationem quaerendam debes RegisterNatives.
Eamus ad munus JNI_OnLoad et hanc imaginem videmus;
Quid hic agitur? In primo aspectu, initium et finis functionis sunt typicam pro ARM architecturae. Prima instructio in ACERVUS continet contenta tabularum quae munus in operatione sua utetur (in hoc casu, R0, R1 et R2), tum contenta LR registri, quae reditum inscriptionis ex munere continet. . Ultima instructio tabulas servatas restituit et inscriptio reditus statim in tabulario PC ponitur - ita a munere reverti. Sed si inspicias, animadvertes disciplinam paenultimam mutat reditus inscriptionis in ACERVUS conditam. Computemus quid erit sicut post
codicem omissum. Inscriptio quaedam 1xB0 onerata est in R130, 5 ab ea subtracta, deinde transfertur in R0 et 0x10 additur. Evenit 0xB13B. Ita ISS putat ultimam instructionem functionem normalem esse reditus, re vera ad electronicam computatam 0xB13B futurum esse.
Hic memorare dignum est processus ARM duos modos habere et duos instructiones: ARM et Thumb. Minimum notabile frenum inscriptionis narrat processus quibus instructio adhibetur. Hoc est, oratio actualiter 0xB13A, et una in minimis momentis significat Pollice modum.
Similis "adaptor" ad initium cuiusque functionis in hac bibliotheca additum est et
coeno codice. Non in speciali adhuc morabimur - sicut meminimus
verum principium omnium fere functionum paulo remotius est.
Cum signum expresse non saliat ad 0xB13A, IDA ipsum non agnoscit codicem in hoc loco situm esse. Eadem de causa non agnoscit potissimum codicem in bibliotheca tamquam codicem, quod analysin aliquantum difficilis reddit. IDA narramus hunc esse codicem, et ita evenire;
Mensa clare incipit ante 0xB144. Quid in sub_494C?
Cum hoc munus in LR actis mandare vocamus, inscriptione tabulae praedictae praedictae consequitur (0xB144). In R0 - index in hac tabula. Id est, sumi pretii mensae, LR additae, et effectus est
oratio, ire. Id calculare conemur: 0xB144 + [0xB144 + 8*4] = 0xB144 + 0x120 = 0xB264. Ad inscriptionem receptam accedimus et instructiones utiles ad litteram videmus et iterum ad 0xB140;
Nunc transitus erit in cingulo cum indice 0x20 e tabula.
De magnitudine mensae iudicantes tales transitus in codice multae erunt. Quaestio oritur num fieri possit aliquo modo de hoc ipso magis e contra, sine inscriptionibus manualibus computandis. Ac scriptorum et codici in ISS facultatem repeciare nobis succurrendum est;
def put_unconditional_branch(source, destination):
offset = (destination - source - 4) >> 1
if offset > 2097151 or offset < -2097152:
raise RuntimeError("Invalid offset")
if offset > 1023 or offset < -1024:
instruction1 = 0xf000 | ((offset >> 11) & 0x7ff)
instruction2 = 0xb800 | (offset & 0x7ff)
patch_word(source, instruction1)
patch_word(source + 2, instruction2)
else:
instruction = 0xe000 | (offset & 0x7ff)
patch_word(source, instruction)
ea = here()
if get_wide_word(ea) == 0xb503: #PUSH {R0,R1,LR}
ea1 = ea + 2
if get_wide_word(ea1) == 0xbf00: #NOP
ea1 += 2
if get_operand_type(ea1, 0) == 1 and get_operand_value(ea1, 0) == 0 and get_operand_type(ea1, 1) == 2:
index = get_wide_dword(get_operand_value(ea1, 1))
print "index =", hex(index)
ea1 += 2
if get_operand_type(ea1, 0) == 7:
table = get_operand_value(ea1, 0) + 4
elif get_operand_type(ea1, 1) == 2:
table = get_operand_value(ea1, 1) + 4
else:
print "Wrong operand type on", hex(ea1), "-", get_operand_type(ea1, 0), get_operand_type(ea1, 1)
table = None
if table is None:
print "Unable to find table"
else:
print "table =", hex(table)
offset = get_wide_dword(table + (index << 2))
put_unconditional_branch(ea, table + offset)
else:
print "Unknown code", get_operand_type(ea1, 0), get_operand_value(ea1, 0), get_operand_type(ea1, 1) == 2
else:
print "Unable to detect first instruction"Cursorem pone in linea 0xB26A, currite scriptionem et videte transitum ad 0xB4B0;
IDA denuo hanc aream tamquam codicem non agnovit. adiuvamus eam et videbimus aliud consilium ibi;
Instructiones post BLX non multum sensum facere videntur, quaedam obsessio similior est. Intueamur sub_4964:
Et quidem hic dword sumitur ab inscriptione in LR iacente, huic inscriptioni addita, post quam sumitur valor inde inscriptionis et in ACERVUS. Item 4 additur LR ut post reditum a munere eadem cinguli omittatur. Post quem POP {R1} mandatum consequitur valorem e acervo. Si quid in inscriptione 0xB4BA + 0xEA = 0xB5A4 situm spectes, aliquid simile tabulae inscriptionis videbis;
Ad hoc consilium repeciare, duos parametros ex codice accipere debes: cinguli et actis mandare in quibus eventum ponere vis. Pro unoquoque mandare possibilem, codicem in antecessum parare debebis.
patches = {}
patches[0] = (0x00, 0xbf, 0x01, 0x48, 0x00, 0x68, 0x02, 0xe0)
patches[1] = (0x00, 0xbf, 0x01, 0x49, 0x09, 0x68, 0x02, 0xe0)
patches[2] = (0x00, 0xbf, 0x01, 0x4a, 0x12, 0x68, 0x02, 0xe0)
patches[3] = (0x00, 0xbf, 0x01, 0x4b, 0x1b, 0x68, 0x02, 0xe0)
patches[4] = (0x00, 0xbf, 0x01, 0x4c, 0x24, 0x68, 0x02, 0xe0)
patches[5] = (0x00, 0xbf, 0x01, 0x4d, 0x2d, 0x68, 0x02, 0xe0)
patches[8] = (0x00, 0xbf, 0xdf, 0xf8, 0x06, 0x80, 0xd8, 0xf8, 0x00, 0x80, 0x01, 0xe0)
patches[9] = (0x00, 0xbf, 0xdf, 0xf8, 0x06, 0x90, 0xd9, 0xf8, 0x00, 0x90, 0x01, 0xe0)
patches[10] = (0x00, 0xbf, 0xdf, 0xf8, 0x06, 0xa0, 0xda, 0xf8, 0x00, 0xa0, 0x01, 0xe0)
patches[11] = (0x00, 0xbf, 0xdf, 0xf8, 0x06, 0xb0, 0xdb, 0xf8, 0x00, 0xb0, 0x01, 0xe0)
ea = here()
if (get_wide_word(ea) == 0xb082 #SUB SP, SP, #8
and get_wide_word(ea + 2) == 0xb503): #PUSH {R0,R1,LR}
if get_operand_type(ea + 4, 0) == 7:
pop = get_bytes(ea + 12, 4, 0)
if pop[1] == 'xbc':
register = -1
r = get_wide_byte(ea + 12)
for i in range(8):
if r == (1 << i):
register = i
break
if register == -1:
print "Unable to detect register"
else:
address = get_wide_dword(ea + 8) + ea + 8
for b in patches[register]:
patch_byte(ea, b)
ea += 1
if ea % 4 != 0:
ea += 2
patch_dword(ea, address)
elif pop[:3] == 'x5dxf8x04':
register = ord(pop[3]) >> 4
if register in patches:
address = get_wide_dword(ea + 8) + ea + 8
for b in patches[register]:
patch_byte(ea, b)
ea += 1
patch_dword(ea, address)
else:
print "POP instruction not found"
else:
print "Wrong operand type on +4:", get_operand_type(ea + 4, 0)
else:
print "Unable to detect first instructions"Cursorem ponimus in initio structurae quam - 0xB4B2 reponere velimus, ac percurrere scripturam:
Praeter iam dictas structuras, codicem etiam haec continet;
Ut in praecedenti casu, post instructionem BLX offset est;
crepidinem inscriptionis ex LR accipimus, eam LR addimus et illuc ite. 0x72044 + 0xC = 0x72050. Scriptum ad hoc consilium satis simplex est;
def put_unconditional_branch(source, destination):
offset = (destination - source - 4) >> 1
if offset > 2097151 or offset < -2097152:
raise RuntimeError("Invalid offset")
if offset > 1023 or offset < -1024:
instruction1 = 0xf000 | ((offset >> 11) & 0x7ff)
instruction2 = 0xb800 | (offset & 0x7ff)
patch_word(source, instruction1)
patch_word(source + 2, instruction2)
else:
instruction = 0xe000 | (offset & 0x7ff)
patch_word(source, instruction)
ea = here()
if get_wide_word(ea) == 0xb503: #PUSH {R0,R1,LR}
ea1 = ea + 6
if get_wide_word(ea + 2) == 0xbf00: #NOP
ea1 += 2
offset = get_wide_dword(ea1)
put_unconditional_branch(ea, (ea1 + offset) & 0xffffffff)
else:
print "Unable to detect first instruction"Effectus scriptorum exsecutionis;
Cum omnia in munere coagmentata sint, ISS ad suum principium verum demonstrare potes. Colliget omne codicem functionis et componi potest utens HexRays.
Decoding chordis
Machinae obfuscatione agere de codice in bibliotheca didicimus libsgmainso-6.4.36.so ex UC Pasco et munus accepit JNI_OnLoad.
int __fastcall real_JNI_OnLoad(JavaVM *vm)
{
int result; // r0
jclass clazz; // r0 MAPDST
int v4; // r0
JNIEnv *env; // r4
int v6; // [sp-40h] [bp-5Ch]
int v7; // [sp+Ch] [bp-10h]
v7 = *(_DWORD *)off_8AC00;
if ( !vm )
goto LABEL_39;
sub_7C4F4();
env = (JNIEnv *)sub_7C5B0(0);
if ( !env )
goto LABEL_39;
v4 = sub_72CCC();
sub_73634(v4);
sub_73E24(&unk_83EA6, &v6, 49);
clazz = (jclass)((int (__fastcall *)(JNIEnv *, int *))(*env)->FindClass)(env, &v6);
if ( clazz
&& (sub_9EE4(),
sub_71D68(env),
sub_E7DC(env) >= 0
&& sub_69D68(env) >= 0
&& sub_197B4(env, clazz) >= 0
&& sub_E240(env, clazz) >= 0
&& sub_B8B0(env, clazz) >= 0
&& sub_5F0F4(env, clazz) >= 0
&& sub_70640(env, clazz) >= 0
&& sub_11F3C(env) >= 0
&& sub_21C3C(env, clazz) >= 0
&& sub_2148C(env, clazz) >= 0
&& sub_210E0(env, clazz) >= 0
&& sub_41B58(env, clazz) >= 0
&& sub_27920(env, clazz) >= 0
&& sub_293E8(env, clazz) >= 0
&& sub_208F4(env, clazz) >= 0) )
{
result = (sub_B7B0(env, clazz) >> 31) | 0x10004;
}
else
{
LABEL_39:
result = -1;
}
return result;
}Propius inspiciamus sequentes lineas:
sub_73E24(&unk_83EA6, &v6, 49);
clazz = (jclass)((int (__fastcall *)(JNIEnv *, int *))(*env)->FindClass)(env, &v6);In munus sub_73E24 classium nomine decrypted evidenter est. Ut parametri huic functioni, monstratorem notitiae cryptae similem datae, quiddam quiddam et numerus praetermittitur. Uti patet, vocato munere, linea decrypta erit in quiddam, cum ad functionem transeat. FindClassquae ita appellatur ut secundae parametri. Ergo numerus est magnitudo quiddam vel lineae longitudo. Experiamur genus nominis interpretari, indicet nobis an in rectum ambulemus. Inspiciamus quid fit in sub_73E24.
int __fastcall sub_73E56(unsigned __int8 *in, unsigned __int8 *out, size_t size)
{
int v4; // r6
int v7; // r11
int v8; // r9
int v9; // r4
size_t v10; // r5
int v11; // r0
struc_1 v13; // [sp+0h] [bp-30h]
int v14; // [sp+1Ch] [bp-14h]
int v15; // [sp+20h] [bp-10h]
v4 = 0;
v15 = *(_DWORD *)off_8AC00;
v14 = 0;
v7 = sub_7AF78(17);
v8 = sub_7AF78(size);
if ( !v7 )
{
v9 = 0;
goto LABEL_12;
}
(*(void (__fastcall **)(int, const char *, int))(v7 + 12))(v7, "DcO/lcK+h?m3c*q@", 16);
if ( !v8 )
{
LABEL_9:
v4 = 0;
goto LABEL_10;
}
v4 = 0;
if ( !in )
{
LABEL_10:
v9 = 0;
goto LABEL_11;
}
v9 = 0;
if ( out )
{
memset(out, 0, size);
v10 = size - 1;
(*(void (__fastcall **)(int, unsigned __int8 *, size_t))(v8 + 12))(v8, in, v10);
memset(&v13, 0, 0x14u);
v13.field_4 = 3;
v13.field_10 = v7;
v13.field_14 = v8;
v11 = sub_6115C(&v13, &v14);
v9 = v11;
if ( v11 )
{
if ( *(_DWORD *)(v11 + 4) == v10 )
{
qmemcpy(out, *(const void **)v11, v10);
v4 = *(_DWORD *)(v9 + 4);
}
else
{
v4 = 0;
}
goto LABEL_11;
}
goto LABEL_9;
}
LABEL_11:
sub_7B148(v7);
LABEL_12:
if ( v8 )
sub_7B148(v8);
if ( v9 )
sub_7B148(v9);
return v4;
}munus sub_7AF78 instantiam facit continentis pro byte vestimentis certae magnitudinis (non habitabimus in his vasis singillatim). Hic duo vasa huiusmodi condita sunt: ββunum continet lineam "DcO/lcK+h?m3c*q@" (suspicari facile est hanc clavem esse), altera notitia encryptata continet. Dein ponuntur utraque res in structura quadam, quae ad functionem transmittitur sub_6115C. Agrum quoque notemus cum valore 3 in hac structura.
int __fastcall sub_611B4(struc_1 *a1, _DWORD *a2)
{
int v3; // lr
unsigned int v4; // r1
int v5; // r0
int v6; // r1
int result; // r0
int v8; // r0
*a2 = 820000;
if ( a1 )
{
v3 = a1->field_14;
if ( v3 )
{
v4 = a1->field_4;
if ( v4 < 0x19 )
{
switch ( v4 )
{
case 0u:
v8 = sub_6419C(a1->field_0, a1->field_10, v3);
goto LABEL_17;
case 3u:
v8 = sub_6364C(a1->field_0, a1->field_10, v3);
goto LABEL_17;
case 0x10u:
case 0x11u:
case 0x12u:
v8 = sub_612F4(
a1->field_0,
v4,
*(_QWORD *)&a1->field_8,
*(_QWORD *)&a1->field_8 >> 32,
a1->field_10,
v3,
a2);
goto LABEL_17;
case 0x14u:
v8 = sub_63A28(a1->field_0, v3);
goto LABEL_17;
case 0x15u:
sub_61A60(a1->field_0, v3, a2);
return result;
case 0x16u:
v8 = sub_62440(a1->field_14);
goto LABEL_17;
case 0x17u:
v8 = sub_6226C(a1->field_10, v3);
goto LABEL_17;
case 0x18u:
v8 = sub_63530(a1->field_14);
LABEL_17:
v6 = 0;
if ( v8 )
{
*a2 = 0;
v6 = v8;
}
return v6;
default:
LOWORD(v5) = 28032;
goto LABEL_5;
}
}
}
}
LOWORD(v5) = -27504;
LABEL_5:
HIWORD(v5) = 13;
v6 = 0;
*a2 = v5;
return v6;
}In switch parametri structura agri est quae ante valorem assignata 3. Vide causam 3: ad munus sub_6364C parametri transeunt ex structura quae in functione priore, i.e. clavem et data encrypta, addita sunt. Si inspicias sub_6364C, cognoscere potes algorithmum RC4 in eo.
Algorithmum et clavem habemus. Experiamur genus nominis interpretari. Ecce quod factum est; com/taobao/wireless/securitate/adapter/JNICLibrary. Magna! Nos in semita recta sumus.
Mandatum arboris
Nunc opus est invenire provocationem RegisterNativesquae nos ad munus demonstrabit doCommandNative. Intueamur munera dicta e JNI_OnLoad, et invenimus in sub_B7B0:
int __fastcall sub_B7F6(JNIEnv *env, jclass clazz)
{
char signature[41]; // [sp+7h] [bp-55h]
char name[16]; // [sp+30h] [bp-2Ch]
JNINativeMethod method; // [sp+40h] [bp-1Ch]
int v8; // [sp+4Ch] [bp-10h]
v8 = *(_DWORD *)off_8AC00;
decryptString((unsigned __int8 *)&unk_83ED9, (unsigned __int8 *)name, 0x10u);// doCommandNative
decryptString((unsigned __int8 *)&unk_83EEA, (unsigned __int8 *)signature, 0x29u);// (I[Ljava/lang/Object;)Ljava/lang/Object;
method.name = name;
method.signature = signature;
method.fnPtr = sub_B69C;
return ((int (__fastcall *)(JNIEnv *, jclass, JNINativeMethod *, int))(*env)->RegisterNatives)(env, clazz, &method, 1) >> 31;
}Et quidem methodus indigena cum nomine hic relatus est doCommandNative. Nunc eius inscriptio scimus. Quid agat videamus.
int __fastcall doCommandNative(JNIEnv *env, jobject obj, int command, jarray args)
{
int v5; // r5
struc_2 *a5; // r6
int v9; // r1
int v11; // [sp+Ch] [bp-14h]
int v12; // [sp+10h] [bp-10h]
v5 = 0;
v12 = *(_DWORD *)off_8AC00;
v11 = 0;
a5 = (struc_2 *)malloc(0x14u);
if ( a5 )
{
a5->field_0 = 0;
a5->field_4 = 0;
a5->field_8 = 0;
a5->field_C = 0;
v9 = command % 10000 / 100;
a5->field_0 = command / 10000;
a5->field_4 = v9;
a5->field_8 = command % 100;
a5->field_C = env;
a5->field_10 = args;
v5 = sub_9D60(command / 10000, v9, command % 100, 1, (int)a5, &v11);
}
free(a5);
if ( !v5 && v11 )
sub_7CF34(env, v11, &byte_83ED7);
return v5;
}Sub nomine coniicere potes hic esse punctum omnium functionum quae tincidunt in bibliothecam vernaculam transferre constituerunt. Quaeritur in numero functionis 10601.
Vides ex codice quem numerus praepositus est tres numeros producere; imperium/10000, imperium % 10000 / 100 ΠΈ imperium% 10in nostro casu, 1, 6 et 1. Isti tres numeri, et regula to JNIEnv et rationes ad functiones adduntur ac transmittuntur. Tres numeri consecuti utentes (sint N1, N2 et N3), praeceptum ligni aedificatur.
Aliquid simile hoc:
Arbor dynamice repleta est JNI_OnLoad.
Tres numeri viam in arbore encode. Unumquodque folium arboris continet inscriptionem conpositam functionis respondentis. Clavis est in node parentis. Locum repertum in codice, ubi munus quod opus est ligno additur, haud difficile est si omnes structuras usitatas intelligas (non ita describemus ut non iam magis magnum articulum eluas).
Plus obfuscation
Inscriptionem muneris recepimus quae decrypt negotiationis debet: 0x5F1AC. Sed immaturum est gaudere: tincidunt UC Pasco aliam nobis admirationem paraverunt.
Post parametris acceptis e apparatu qui in codice Java formatum est, obtinemus
ad munus inscriptionis 0x4D070. Atque hic aliud genus codicis nobis manet obfuscatio.
Duos indices in R7 et R4 ponimus;
Primum indicem ad R11 transferre debemus:
Ut electronicam e tabula accipias, indice utere:
Ad primam inscriptionem post exitum adhibetur index secundus, qui est in R4. Sunt 230 elementa in tabula.
Quid faciendum est? Potes dicere IDA hanc esse pactionem: Edit -> Other -> Specificare idiom commutandum.
Proventus codice terribilis est. Sed, per silvestrem tuum iter faciens, vocationem ad functionem nobis iam familiarem animadvertere potes sub_6115C:
Transitus erat in quo in casu 3 decryption utens algorithmus RC4 erat. Et hoc in casu, structura ad munus transiens impletur ex parametris to doCommandNative. Memento quod ibi habuimus magicInt valor 16. Respicimus casus respondentes - et post plures transitus invenimus codicem quo algorithmus invenire potest.
Hoc est Caes!
Exsistit algorithmus, omnia quae restant parametros suos obtinere: modum, clavem et fortasse initialization vectoris (praesentia eius pendet a modo operante algorithmus AES). Structura cum illis alicubi formari debet antequam munus vocationis sub_6115Csed haec codicis pars in primis bene obfuscatur, ita oritur idea ad repeciandum codicem ut omnes ambitus functionis decryptionis in limam profundantur.
patch
Ut non scribas totum codicem commissuram in lingua conventus manuali, Android Studio mittere potes, ibi munus scribe, quod idem parametri initus recipit sicut munus decryption nostrum ac tabellam scribens, deinde codicem quem compilator vult. generare.
Amici nostri a UC Pasco turmas etiam commoditatem addendi codicem curaverunt. Meminerimus in principio cuiusque functionis habemus codicem purgamentum habere qui cum quovis alio facile reponi potest. Commodissimum Sed in principio muneris scopum non satis spatii est ad codicem qui omnes parametri ad limam servat. Ego eam in partes dividere et a vicinis functionibus uti stercora stipitibus. Partes erant totidem.
Prima pars:
In architectura ARM, primi quattuor parametri functiones per regestra R0-R3 transeunt, reliqui, si qua sunt, per acervum transeunt. LR mandare inscriptionis reditus fert. Haec omnia servanda sunt, ut munus suum parametri effundere possit operari. Etiam opus est ut tabulas omnes servent quibus in processu utemur, ita facimus PUSH.W {R0-R10,LR}. In R7 inscriptione parametri ad munus per ACERVUM transivimus.
Munus utens fopen lets tabella aperire /data/loci/tmp/aes in "ab" modus
i.e., for praeter. In R0 inscriptionem tabellae nominis oneramus, in R1 - inscriptione lineae modum significans. Et hic quisquiliarum codice desinit, ut ad proximam functionem proficiscamur. Ut perseveret ad opus, initio transitus ad realem functionis codicem ponemus, praetermittens purgamentum, et loco purgamentorum continuam commissuram addimus.
Vocatio fopen.
Primae tres parametri functionis aes habere genus int. Cum tabulas in ACERVUS initio servavimus, munus simpliciter transire possumus fwrite inscriptiones suas in ACERVUS.
Deinde habemus tres structuras quae datae magnitudinis et monstratorem insunt notitiae clavis, vectoris initializationis et notae encryptae.
In fine, tabellam claude, libros restitue et imperium ad realem functionem transfer aes.
ApK bibliothecam coagmentatam colligimus, eam subscribit, eam imposuisti ad emulatoris fabricam, eamque deducimus. Videmus nostrum TUBER creatur, et ibi multa notitia scribi. Naviculator encryption non solum mercaturae utitur, et omnis encryption per munus de quo agitur. Sed aliqua de causa necessaria notitia ibi non est, et petitio requisita in commercio non apparet. Ne expectes donec UC Browser postulationem postulare dignetur, encryptum responsum a servo accepto antea accipiamus et applicationem denuo repeciare: decryption addere actionis principalis.
const/16 v1, 0x62
new-array v1, v1, [B
fill-array-data v1, :encrypted_data
const/16 v0, 0x1f
invoke-static {v0, v1}, Lcom/uc/browser/core/d/c/g;->j(I[B)[B
move-result-object v1
array-length v2, v1
invoke-static {v2}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v2
const-string v0, "ololo"
invoke-static {v0, v2}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)ICoimus, signamus, instituimus, deducimus. NullPointerException accipimus, quia modus nullum redditum.
In ulteriore analysi codicis, functio inventa est lineas iucundas interpretari: "META-INF/" et ".RSA". Apparet sicut applicatio certificatorium suum comprobans. Vel claves ex eo generat. Non vere volumus agere cum certificatorio quid agatur, ergo iustum libellum labimur. Lineam encryptam repeciare situs ut pro "META-INF/" "BLABLINF/" obtinemus, folder eo nomine in APK creo et ibi sciurus navigatrum libellum adde.
Coimus, signamus, instituimus, deducimus. euge! Clavem habemus!
MitM
Clavem accepimus ac vectorem initializationem aequalem clavibus. Conemur minutum responsum servo in CBC modum.
Videmus archivum URL, MD5 simile, "extract_unzipsize" et numerum. Reprehendimus: idem archivi MD5, amplitudo bibliothecae eadem est. Hanc bibliothecam repeciare conamur et ad navigatrum daremus. Ut ostenderet bibliothecam nostram coagmentatam oneratam esse, intentionem reddemus SMS cum textu "PWNED" creandi. Duas responsiones a servo reponere faciemus: et in archivo deponendi. In primo MD5 restituimus (mox non mutat post fasciculos), in secundo archivum damus cum bibliotheca perantiqua.
Navigatorium archivum aliquoties detrahere conatur, post quem errorem dat. Videtur quod
non placet. Ex analysatione huius caecae formae, evenit ut server etiam magnitudinem archivi transmitteret:
in LEB128. Post commissuram, magnitudo archivi cum bibliotheca paulum immutata est, navigatrum igitur reputavit tabularium prave receptam esse, et post aliquot conatus errorem eiecisse.
Magnitudinem archivi componimus... Et β victoriam! π Consequens est in video.
Consequuntur et elit elit
Eodem modo, hackers incerto UC Pasco utere possent ad distribuendas et currendas bibliothecas malignas. Hae bibliothecae in contextu navigatoris operabuntur, omnes facultates eius licentias accipient. Quam ob rem, facultas fenestras hamatas ostentandi, et accessum ad sciurus aurantiorum Sinensium operantium, inclusis logins, Tesserae et crustula in datorum thesauris condita est.
Nos tincidunt de UC Browser attigimus eosque de problemate quod invenimus invenimus demonstrare conati sunt vulnerabilitatem et periculum eius, sed nihil nobiscum tractaverunt. Interim navigatrum in aspectum periculosum ingerere pergebat. Sed cum singula vulnerabilitatem demonstravimus, iam non fuit possibile ut antea ignoraremus. Martii 27 was
nova versio UC Browser 12.10.9.1193 dimissa est, quae servo per HTTPS accesserat: .
Praeterea, post "fix" et usque ad tempus huius articuli scribens, PDF in navigatro aperire conatur, in errore nuntium cum textu "Oops, aliquid erravit!" Petitio server facta non est cum PDF aperire conatur, sed postulatio facta est cum navigatrum deducebatur, quae continuam facultatem innuit ad codicem exsecutabile in violatione Google Play praecepta.
Source: www.habr.com