逆向分析uni-app伪装外挂诈骗套路
本帖最后由 laoser 于 2024-8-8 18:14 编辑前言
声明:本文仅供学习交流使用,所涉及的APP破解版不提供下载渠道。所涉及的技术请勿用于非法活动,否则所带来的一切后果自负。
软件界面
该软件是伪装成一款棋牌外挂,需要找客服购买激活码进行激活,APP功能就是一个UI进行展示而已,没激活按钮默认是不可选中状态。
使用工具
● Goole Chrome / Mocrosoft Edge
● SimpleHook / 算法助手Pro
● 雷电模拟器
● HttpCanary
软件分析
数字加固,不影响分析,我们使用开发者工具动态调试
源码其实都在assets/apps/{$ID}/www/这个文件夹
SimpleHook中打开WebViewDebug
算法助手中打开WebViewDebug
浏览器动态调试,搜索框输入
Chrome:chrome://inspect/#devices
Edge:edge://inspect/#devices
开发者模式adb连接模拟器
adb connect 127.0.0.1:7555
每个模拟器使用的默认端口不一样,Android11以及以下版本是默认5555端口号
以后版本是随机6位数端口号,但是这个是可以在编译系统镜像时就修改的,不细说。
连接成功即可看到正在运行的uni-app,无法访问到资源,需使用梯子,被墙拦截
直接连接会无法访问到资源,也有可能是因为本地浏览器使用的WebVeiw版本小于uni-app使用的版本
正确连接后即可显示
使用Devtools Source下分析源码
而破解可以直接修改如下,发送成功就授权
直接修改动态调试源码,此方法不会同步到实际源码中
配合HttpCanary注入修改响应体为长度32的字符串
授权成功可以直接点击
点击开始加载后显示修改成功
判断基本逻辑就在这里,点击开始就显示个UI效果,Root权限也没获取,内存也没注入,它拿什么去透视。
好奇大佬是如何在没脱壳的情况下。分析得出源码位置:assets/apps/{$ID}/www/得。 ghost9528 发表于 2024-8-9 17:39
好奇大佬是如何在没脱壳的情况下。分析得出源码位置:assets/apps/{$ID}/www/得。
你其实下载过uniapp看过他们的文档进行过离线编译就知道源码在哪里 这是蓝鸟开发的 空城^ 发表于 2024-8-10 06:44
这是蓝鸟开发的
蓝鸟还是调用的uni-app laoser 发表于 2024-8-10 06:45
蓝鸟还是调用的uni-app
这个确实 ghost9528 发表于 2024-8-9 17:39
好奇大佬是如何在没脱壳的情况下。分析得出源码位置:assets/apps/{$ID}/www/得。
uniapp的程序本质上就是一个浏览器,用户的程序就是里面的html,加壳仅仅是加了外层的原生程序,里面资源内容并未保护。直接就可以复制出现。 本帖最后由 孤心 于 2024-8-30 12:07 编辑
有样本链接吗 想复现下试试 真的有这种外挂吗?佛说,有元求教 yinyubo 发表于 2024-9-8 11:09
真的有这种外挂吗?佛说,有元求教
没有 这种都是骗人的
页:
[1]
2