重打包APK绕过签名校验（无ROOT无HOOK框架）

wyatton · 发表于 2020-7-23 15:34

本帖最后由 wyatton 于 2020-7-23 18:16 编辑

事先声明：尊重软件版权，请勿盗版。

这里先提一种针对性校强但简单好理解的办法，纯Java实现，实现代码大概也就50行不到吧。
还有更强的并且能过各种保护（反调试反HOOK反内存修改等等）的万能方法，不过较复杂，长篇大论的，等有空整理出来再提

本文适用场景：
1.需要重打包APK给普通用户，没有root权限也没有HOOK框架
2.so很难脱壳修复分析修改，或者逆向时间会很长很长。
3.so中调用了this.getPackageManager().getPackageInfo来获取签名进行校验

故事开始，某天，你暗恋的女神需要某个app的VIP，怎奈你兜兜空空如也，根本买不起VIP，然后你发现这个app的VIP是本地判断的，于是……
经过一番折腾，很快就改好了APK，重打包安装运行。提示非法操作？
又一番折腾，发现程序主要逻辑在so中，so被混淆的面目全非还进行了加固，最后发现在so中进行了APK签名校验，于是用hook过了签名校验，正常运行，VIP到手。
可是这样怎么发给女神呢？女神的手机没有root也没有hook框架。分析so？实在太复杂了，一时半会根本来不及，要让女神等你三五十天？恐怕到时候是备胎都当不成了吧。
怎么办？

总体思路：
既然修改so不成，也无法使用hook框架，那么就从别处入手。
本文用本人曾经悬赏过的加固APK（悬赏期内没人破解成功，加固强度还可以）进行分析：
由于so非常复杂，时间关系直接放弃分析。通过HOOK发现so的中签名校验是通过this.getPackageManager().getPackageInfo来获取的，于是想法就来了——
这个this是MainActivity的实例，所以这个this是一个很大的突破口：
思路活跃的同学可能已经发现了，只要覆盖MainActivity的getPackageManager就行了。

具体过程如下：
1.写一个HookPackageManager，专门用来HOOK各种PM相关方法：

[Java] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

public class HookPackageManager extends PackageManager {
  
    private PackageManager mBase; //用来做适配，返回其他信息
  
    public HookPackageManager(PackageManager base) {
        mBase = base;
    }
  
    @Override
    public PackageInfo getPackageInfo(String packageName, int flags)
            throws NameNotFoundException {
        if (!"ywt.android.test6".equals(packageName)) {
            //如果不是目标APK，则返回原始数据
            return mBase.getPackageInfo(packageName, flags);
        }
        PackageInfo pkgInfo = new PackageInfo();
        pkgInfo.signatures = new Signature[] {
            new Signature(new byte[] {
                //这是填写原始APK中读到的签名，用来欺骗so，很长就不贴了，后面会给出APK，反编译看即可。
            })
        };
        return pkgInfo;
    }
  
    //下面还有很多需要implements的方法，太多了，就不写了，后面会给出APK，反编译看即可，只要用mBase一一调用返回即可。
}

2.写一个HookMainActivity，代码如下：

[Java] 纯文本查看 复制代码

1

2

3

4

5

6

7

8

9

public class HookMainActivity extends Activity {
  
    @Override
    public PackageManager getPackageManager() {
        //由于调用的是this.getPackageManager()，所以只要重写getPackageManager，返回一个伪造的实例，就可以实现欺骗
        PackageManager pm = new HookPackageManager(super.getPackageManager());
        return pm;
    }
}

3.将写好的Java代码反编译为smali，将crackme.apk也反编译为smali，然后将crackme中的MainActivity.smali中的父类修改为继承HookMainActivity
4.重新打包APK，就可以绕过APK的签名校验啦。
5.向女神邀功，争取早日转正。

附件中包含了原始crackme.apk（重打包就会提示APK被修改）和过签名校验的crackme.apk（随便修改都不会提示APK被修改）

chishingchan · 发表于 2020-7-23 15:57

没有一步一步的教学，我等新人难弄明白。

xxslsp · 发表于 2020-7-23 15:43

这就是新的追女神的手段吗(?Д?)?

wyatton · 发表于 2020-7-23 16:08

涛之雨发表于 2020-7-23 15:58
原理就和mt的一键hook签名差不多吧
不知道能不能hook住so层的或是其他形式的签名检测

有点不一样吧，HOOK大部分都需要root权限。
这个方法说是伪装欺骗更确切些。关键是不需要root权限，而且就几行java代码就搞定了，过掉的也是so中的签名检测。只是有一些局限性，不是很通用。

cocodayo · 发表于 2020-7-23 15:38

学废了学废了，谢谢大佬分享

Silent-War · 发表于 2020-7-23 15:46

一看就会，一学就废。感谢大佬

findgood · 发表于 2020-7-23 15:48

非常感谢您的分享！

塞米亚特 · 发表于 2020-7-23 15:53

谢谢大佬分享！上次重签名想骗过吃鸡没成功

神祈 · 发表于 2020-7-23 15:55

道理我都懂，女朋友哪里领？[doge]

涛之雨 · 发表于 2020-7-23 15:58

原理就和mt的一键hook签名差不多吧
不知道能不能hook住so层的或是其他形式的签名检测

wyatton · 发表于 2020-7-23 16:03

chishingchan 发表于 2020-7-23 15:57
没有一步一步的教学，我等新人难弄明白。

这已经一步步啦，代码都全贴出来了，如果还有哪步不懂的可以留言提问。

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 重打包APK绕过签名校验（无ROOT无HOOK框架）

免费评分

本帖被以下淘专辑推荐: