吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7773|回复: 117
收起左侧

[Android 原创] 【Android逆向】记录一次某某虚拟机的逆向

    [复制链接]
Slimu 发表于 2023-10-28 22:18
本帖最后由 Slimu 于 2023-10-28 22:24 编辑

导语

学了一段时间的XPosed,发现XPosed真的好强,只要技术强,什么操作都能实现...
这次主要记录一下我对这款应用的逆向思路

apk检查

1) 使用MT管理器检查apk的加壳情况
image-1698490425344.png
2) 发现是某数字的免费版本
3) 直接使用frida-dexdump
4) 脱下来后备用

应用分析

1) 进入应用之后会发现里边含有登录 会员等模块
2) 我们先不管登录的部分,先检查会员的使用场景,一般在会员的使用场景或者显示场景中都会有检查是否是VIP的业务逻辑,根据这个来加载显示不同的资源

会员分析

1) 通过对应用的检查发现在添加虚拟机设备的时候用到了会员权限
image-1698491212771.png
2) 同时弹出一个对话框,应用也贴心的告诉我们VIP的使用场景
image-1698491308337.png
3) 打开算法助手,算法助手对应用进行了常见功能的Hook,最重要的是支持免费加固的Hook
4) 将这3项勾选
image-1698491485944.png
5) 重复1、2步,在日志中检查OnClick和弹窗是否有用的信息
6) 很幸运,在这一步就获取有关的逻辑
image-1698491661760.png
7) 且函数名称并没有被混淆,能够从调用堆栈读出以下逻辑:点击下载按钮->检查是否VIP->用户没有登录->显示购买VIP的弹窗
8) 打开jadx将脱壳后的dex文件载入,搜索checkVip
image-1698491947384.png
9) 选择第一个函数,发现无有用信息,继续进入checkVip函数
image-1698492065830.png
10) 在此函数中发现getUserConf,即获取用户的配置
image-1698492143846.png
11) 通过对此函数的阅读,得出此函数的返回值为UserBean
image-1698492348754.png
12) 然后检查UserBean
image-1698492425550.png
13) 很明显,有关VIP的数据都在此,使用XPosed来修改这些成员变量,即可达到对显示UI的修改,即使服务器对这些数据有校验也不影响,至少在UI层面已经成功了

抓包分析

1) 使用抓包工具检查网络请求,当点击底部的导航栏的时候,应用会发送网络请求
image-1698493703002.png
image-1698493693449.png
2) 通过检查getInfo,获取一个Post请求的链接
image-1698493777398.png
3) 对此链接进行引用查询,发现有关用户的逻辑
image-1698493916369.png
4) 阅读此函数,网络请求库可能为Retrofit,当请求成功的时候会将用户的信息保存起来并移除广告?同样也能得到UserBean,这个关键的信息
image-1698493999956.png

编写插件

思路

1) 通过对应用的分析可以得出一个关键的信息getUserConf
2) getUserConf函数右键->复制为XPosed片段
image-1698494499153.png

XposedHelpers.findAndHookMethod("com.vmos.pro.account.AccountHelper", classLoader, "getUserConf", new XC_MethodHook() {
    @Override
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
        super.beforeHookedMethod(param);
    }
    @Override
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
        super.afterHookedMethod(param);
    }
});

3) 可以看到jadx为我们一键生成了有关的Hook代码,但是这样就行了吗?我可以告诉你,不行。别忘了,这是一个加壳的应用,即使它是一款免费加壳

加壳应用Hook

通过对网上公开资料的查询,发现即使应用加固也需要在运行时进行还原修复,使用jadx打开加固的apk文件,找到attachBaseContext
image-1698495660732.png

XposedHelpers.findAndHookMethod("com.stub.StubApp", param.classLoader, "attachBaseContext", android.content.Context.class, new XC_MethodHook() {
    @Override
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
        super.afterHookedMethod(param);
        Context context = (Context) param.args[0];//获取运行时的Context
        ClassLoader classLoader = context.getClassLoader()//获取真正的ClassLoader
        //在此添加Hook VIP等操作,使用classLoader
    }
});

继续编写

1) 获取到正确的ClassLoader后,对getUserConf函数的返回值进行遍历

XposedHelpers.findAndHookMethod("com.vmos.pro.account.AccountHelper", classLoader, "getUserConf", new XC_MethodHook() {
    @Override
    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
        Object UserBean = param.getResult();
        for (Field field : UserBean.getClass().getDeclaredFields()) {
            //设置可访问, 极其重要, 不然会崩溃
            field.setAccessible(true);
            //使用反射来获取运行时的数据
            var name = field.getName();
            var type = field.getType();
            var value = field.get(UserBean);
            Log.i("HookTag", name + ": " + value);
        }
        super.afterHookedMethod(param);
    }
});

2) Hook完成后,能够发现nickName是正确的,能够对应上UI的显示
image-1698496797249.png
image-1698496764751.png
3) 接下来只需要对循环里的数据进行判断赋值,然后返回即可

//修改名称,其他自行测试
for (Field field : UserBean.getClass().getDeclaredFields()) {
    ......
    if (name.equals("nickName")) {
        field.set(UserBean, "测试文字");
    } else if(......) {
        ......
    }
}
param.setResult(UserBean);//设置返回值,替换掉param.getResult()获取的

4) UI显示和下载功能
image-1698497356061.png
image-1698497391794.png

插件下载破解

获取到VIP后,发现还有一个插件下载的逻辑没有效果

下载逻辑分析

1) 当点击Root或者XPosed的时候,会提示加载失败
image-1698498084998.png
2) 但是点击谷歌服务的时候却有效果,猜测是网络请求
3) 打开抓包工具,通过对两者的对比,发现是其中少了一些数据,所以才会加载失败
image-1698498383161.png
image-1698498426065.png
4) 在jadx中搜索getPluginUrl,通过阅读此函数发现有2个匿名函数,failuresuccess
image-1698498601938.png
image-1698498578424.png
5) 使用jadx默认给我们的参数Hook不太行,这时候需要使用其他函数来获取vu

//vu<jo4>.class 无法获取
//使用loadClass来获取,在参数中填写vu即可
Class<?> vu = classLoader.loadClass("vu");
XposedHelpers.findAndHookMethod("com.vmos.pro.activities.main.fragments.PluginHelper$getPluginDownloadBean$2$1", classLoader, "success", vu, new XC_MethodHook() {
    @Override
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
        Log.i("HookTag", "success: " + Arrays.toString(param.args));
        super.beforeHookedMethod(param);
    }
});
//或者使用XposedBridge.hookAllMethods

6) 通过对这两者的Hook,当点击Root插件按钮时会进入success且参数为:

谷歌服务按钮:success: [CommonResult{code=0, msg='OK', data=RespPlugin{systemPluginResult=RespPluginInfo{pluginUrl='http://xxx/xxx/plugin/android71gp_plugin-64bit3.zip', pluginMd5='62c38ec6b509e546e9fe9566969f7c49', version=0}}}]
Root按钮:success: [CommonResult{code=0, msg='OK', data=RespPlugin{systemPluginResult=null}}]

7) 可以明显发现其中确实是少了一些数据,接下来只需要补齐下载链接即可,但是如何获取这个链接呢?

  • 充值VIP获取其中的链接
  • 扫描网站链接?或者找到一个函数获取?
  • 猜测
    8) 上面2点显然不是我能够解决的,2333,那就通过对链接的猜测吧,根据能够下载的谷歌服务链接来看,root和xposed可能为:
  • http://xxx/xxx/plugin/android71root_plugin-64bit.zip'
  • http://xxx/xxx/plugin/android71xposed_plugin-64bit.zip'
  • 通过一系列猜测,得出来正确的下载链接,MD5的话只需要在终端输入md5 file即可得到
    9) 阅读函数,检查参数发现具体的链接在vu中的data,但是返回类型是T,这就比较麻烦了
    image-1698499939569.png
    image-1698499856498.png
    image-1698499692368.png
    10) 这里采用一种比较麻烦的方法来修改:
  • Hookvu类的m49633函数获取返回结果
  • 遍历返回结果的Fields
  • 找到含有systemPluginResult的field
  • 使用field.getType()获取到Class<?> jo4
  • 使用jo4.newInstance()创建一个实例ret
  • 再次遍历ret.getDeclaredFields()
  • 根据pluginMd5pluginUrl分别赋值到ret
  • 最后使用field.set(data, ret);赋值即可
  • 具体代码截图,pluginMd5pluginUrl是我获取的正确链接,就不公布了
    image-1698500666409.png

    效果图

    image-1698500870928.png
    image-1698500982958.png

免费评分

参与人数 28威望 +2 吾爱币 +123 热心值 +24 收起 理由
lixiao0819 + 1 谢谢@Thanks!
thekingjing + 1 热心回复!
qwe123aa + 1 + 1 热心回复!
poizxc + 1 + 1 我很赞同!
yxf020228 + 1 我很赞同!
qingfengvvv + 1 + 1 谢谢@Thanks!
helloCalm + 1 我很赞同!
肉蛋葱鸡 + 1 + 1 用心讨论,共获提升!
Tonyha7 + 2 + 1 用心讨论,共获提升!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
demimule + 1 我很赞同!
wait_for_you + 1 用心讨论,共获提升!
YP981123 + 1 + 1 我很赞同!
都同学 + 1 + 1 谢谢@Thanks!
nullable + 2 谢谢@Thanks!
Courser + 1 + 1 谢谢@Thanks!
allspark + 1 + 1 用心讨论,共获提升!
寞叶 + 1 + 1 我很赞同!
1MajorTom1 + 1 热心回复!
正己 + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
万事皆三 + 1 我很赞同!
z06260 + 1 + 1 用心讨论,共获提升!
wasd3152 + 1 我很赞同!
Chenda1 + 1 + 1 谢谢@Thanks!
雨落惊鸿, + 1 + 1 我很赞同!
a7227078 + 1 谢谢@Thanks!
zlxay + 1 + 1 感谢分享
bobo53051 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

FengYAo 发表于 2023-11-13 09:20
楼主好,我在微信公众号上个看到了一模一样的文章,也没有说明是从哪搬运的,怀疑是倒运了咱得原文
一个公众号是:Web安全工具库
一个公众号是:看雪
不知道是不是楼主本人
1699838282353.jpg
1699838298496.png
jacktvt 发表于 2023-11-2 10:55
大佬大佬,之前用过这个软件,不过之前是拿的现成的,现在正好可以跟着练练,另外最近也碰到过一个某数字加固的软件,但是还没有学过去壳这方面的知识,大佬能出个教程吗
a33463 发表于 2023-10-30 18:13
1188 发表于 2023-10-30 18:23
360加固最新版的,还好脱吗?
lin1918 发表于 2023-10-30 18:45
小白看着这个有点迷糊
b71001339 发表于 2023-10-30 19:02
有点像看天书,感觉你们都好厉害呀
gl1433223 发表于 2023-10-30 19:26
感谢分享 学习一下 思路很清晰
icevoit 发表于 2023-10-30 20:07
以跟着做一做了
wasm2023 发表于 2023-10-30 20:42
厉害了楼主
CSAPPYYDS 发表于 2023-10-30 20:53
慢慢看了……
rhol 发表于 2023-10-30 22:56
学习了,没想到还能这么用算法助手
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-21 23:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表