工具与环境:

IDA7.0

JEB2.2.5

Nexus 5

Android 4.4

目录:

一:app简单分析与java层反编译

二: compatible.so反调试与反反调试

三: compatible.so注册jni函数分析

四: stub.so反调试与反反调试

五: stub.so注册jni函数分析

六: Assembly-CSharp.dll解密分析

七: libengine模块分析

八：总结

一:app简单分析与java层反编译

整体图:

1.最近在学习手游保护方面的技术，本文是学习过程中分析某反外挂的一点记录，高手莫要见笑，有不对的地方还请指教，首先简单通过资源目录中文件名做基本了解，

在lib目录中有libmono.so、libunity.so，资源目录中存在(assetsinDataManagedAssembly-CSharp.dll)，应该是unity 3D编写，通过反编译发现该文件己被加密，在资源目录下armeabi文件夹中还存放着libengine.sox与libstub.sox文件，看名字猜测很可能这两个文件就是反外挂其中的一些模块了，在看看lib目录下只有libcompatible.so模块比较可疑。如下图所示:

当我们用调试器附加游戏程进时会有如下提示：

被发现有调试器附加，下节我们将分析它的反调试机制。

2.通过JEB反编译来看看大致流程，反编译后先找到application类，代码如下图：

主要是加载so模块，so名称字符串被加密了，解密出来后so名称"compatible",将compatible.so放到IDA中反编译发现函数名被混淆了，字符串己加密，如下图：

通过以上简单分析，我们主要关注的重点关注的模块主要有lib目录下的libcompatible.so与资源目录中的libengine.sox与libstub.sox，还有就是发现java层的字符串与函数名都被混淆，so模块中的字符串也函数名也被混淆。

3.拷贝资源,解密libstub.sox并加载 。

在Lcom/inca/security/Core/AppGuardEngine初始函数(Landroid/content/Context;Lcom/inca/security/AppGuard/AppGuardEventListener;Z)V中将判断X86或ARM平台并将对应的ssetsppguard中的libengine.sox、libstub.sox、update.dat拷贝到程序安装目录。JEB未能正常反编译出java代码,看smali代码。

4. 解密libstub.sox模块。

解密函数在类com/inca/security/qb中iiIIIiiiIi函数，代码如下:

java层AES解密再传入传入so层解密private static native byte[] iIiIIIiIiI(byte[] arg0, int arg1)。

5. 解密libengine.sox模块

在Lcom/inca/security/Core/AppGuardEngine;->iiIIIiiiIi([B)Z生成一个随机数后SHA1后字会串做为解密后的文件名存放在/data/data/包名/files/目录下,解密函数与上一步相同。

生成随机数代码:

解密后的so会在Native函数中通过dlopen、dlsym来调用。

二: compatible.so反调试与反反调试

1. 反调试 (文件偏移 13284)

如果SDK大于0XD时就创建3进程与多线程反调试: