前言
起步开始学习逆向破 x ,刚好想用薄荷记账(版本为:8.0.0)的暗夜模式,就拿它来开刀学习了。是在是菜,没有能够解锁全部vip功能(指纹解锁),但最后实现了打开暗夜模式,请各位大佬指教 ♂ 。
App 无壳,应该都是 java 层的东西?支付处理都能在 java 层找到。
思路
- 修改支付返回处的判断语句。
- 修改用户 vip 属性值
第一种方法尝试过,能成功提出购买成功,但未能解锁 vip 功能。最后是通过修改读取用户 vip 状态的函数返回值实现解锁 暗夜模式 。
过程
killer 打开搜索字符串 暗夜 ,在中文 xml 找到。因为软件支持多国语言版本,所以字符串都是通过一串数字去对应语言的xml表取值。搜索暗夜对应键 setting_skin_style_night 找到那一串数字。
搜索 0x7f0c046c 在 melandru.lonicera.n.f 中被调用,观察分析判断这个应该是用户选择主题模式的功能文件。查看这个类的交叉调用查看被谁调用,其中有一个是 melandru.lonicera.activity.setting.OptionActivity.S 这个应该是启动主题选择的入口。
private void S() {
if(this.e == null) {
this.e = new v(((Context)this));
this.e.setTitle(0x7F0C046A);
f[] v0 = f.values();
int v1;
for(v1 = 0; v1 < v0.length; ++v1) {
this.e.a(v0[v1].a(this.getApplicationContext()), new View$OnClickListener(v0, v1) {
public void onClick(View arg2) {
f v2 = this.a[this.b];
if(v2 != this.c.r().c()) {
if(v2 == f.b && !this.c.r().L()) {
melandru.lonicera.b.g(this.c);
return;
}
………(下面是调用主题选择功能)
重点是这个判断:if(v2 == f.b && !this.c.r().L())
,前一个是无关的,关键是后面一个是返回用户 vip 状态的,当条件不满足时,就是调用melandru.lonicera.b.g(this.c);
,这是一个购买 vip 的入口函数(为什么?有兴趣看后文失败的思路分析)。
虽然只是想使用暗黑,但是其他 vip 功能也挺香的,所以跟踪进去。发现这个 L 有两个判断,分析被调用的 M ,推断 M 应该是检查登录的,下面的 v0 应该是 vip 状态。按道理来说应该是修改用户 vip 状态的标志位,但是菜咯。就直接改 L 的返回值全为 1 。
public boolean L() {
if(!this.M()) {
return 0;
}
bu v0 = this.e().a();
if(v0 == null) {
return 0;
}
return v0.d;
}
public boolean M() {
if(Long.compare(this.I(), 0) <= 0) { // 是否登录
return 0;
}
if(TextUtils.isEmpty(this.H())) {
return 0;
}
return 1;
}
重新打包测试,前后对比图:这 emmm 没差别??
成功过程到这里就结束了,下面是如何找支付函数的记录
成功过程到这里就结束了,下面是如何找支付函数的记录
成功过程到这里就结束了,下面是如何找支付函数的记录
monitor 监控app,然后打开购买界面,清空monitor logcat准备读取log。
点击立即购买,查看logcat记录发现调用的是melandru.lonicera.activity.vip.OrderActivity,使用支付宝SDK创建一个H5的支付页面。这款APP有分国内国外不同的支付函数入口,国内又有支付宝和微信。选择一类逆向,后续使用同一支付方式的实现方法比较简便。
melandru.lonicera.activity.vip 下面有个a类,通过比对类中的字符串判断是购买成功的弹窗处理类。a 在 OrderActivity 被 P 调用,然后对P跟踪最后会在 OrderActivity.onCreat 被调用。
前后将相关数据打包好后,M创建相关窗体页面,N 发起支付请求。
protected void onCreate(Bundle arg3) {
super.onCreate(arg3);
this.setContentView(0x7F0B00EA); // order
this.alipay = new melandru.lonicera.j.a(((BaseActivity)this));
this.alipay.a(new d() {
public void a() {
OrderActivity.buySuccessTip(this.a);
}
});
…………(省略wxpay)
this.a(arg3);
this.M();
this.N();
在 N 里面最后将打包好的支付请求给到 this.alipay.a 跟踪到函数里面,找到处理返回支付结构 json 部分。支付宝支付成功返回值是9000。在函数里面也果然发现与 9000 比较的部分。
public void a(Map arg3) {
if(arg3 != null) {
Object v0 = arg3.get("resultStatus");
Object v3 = arg3.get("result");
if("9000".equals(v0)) {
if(a.b(this.b) != null) {
a.b(this.b).a();
}
a.b(this.b, ((String)v3));
}
}
}
对应修改后,可以弹窗购买成功,但实际上未解锁对应功能,因为我菜~~大佬指教。
尾巴
萌新上车,大佬指教 ♂ 。程序练手应该也是不错的?