吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4416|回复: 39
收起左侧

[移动样本分析] 记一次逆向分析某诈骗APP的网络行为和加解密

  [复制链接]
fengyutongzhou 发表于 2024-4-22 16:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天是第一次在吾爱破解分享技术贴,最开始是在bi站看到了正己大佬发布的教学视频,后来进论坛也是抱着学习态度来的。现在对安卓逆向有了进一步理解。刚好今天拿到一个诈骗APP,进行了网络分析。我把这次分析记录下来。第一次写帖子案例比较简单,大佬勿喷。写的比较细,也有很啰嗦的地方,主要还是想把自己思路写出来。也欢迎大佬给提意见。环境:夜神模拟器android9+charles。已通过ADB导入证书到根目录。

0x01

先用charles抓一下包看到有请求地址池的行为。初步判断APP是把自己的服务分发到大量的地址池里,之后通过 ...

  先用charles抓一下包看到有请求地址池的行为。初步判断APP是把自己的服务分发到大量的地址池里,之后通过 ...


先用charles抓一下包看到有请求地址池的行为。初步判断APP是把自己的服务分发到大量的地址池里,之后通过请求一些节点,来获取地址池。这种方式从安全考虑可以抗ddos攻击,从恶意软件角度来看就是为了躲避拦截。那么如果想要拦截这个恶意软件需要从他们的节点进行拦截。

0x02
1713775152124.jpg

JADX反编译APP,搜索抓包中发现的节点地址,运气还不错,源代码里没有混淆,之前遇到的APP源代码里都把一些URL加密混淆,导致难以定位,目前来看这APP是个软柿子,可以捏。

0x03
1713771235991.jpg

来到调用URL的方法,这里看到他做了判断,根据不同情况,分别调用m1458f0和m1457g0方法。就是把aliyuncs.com的域名和非aliyuncs.com分别处理,这里说明一下aliyuncs.com的域名的完整URL是用的阿里云OSS存储服务,把地址池存储到阿里云服务器,之后去阿里云获取地址池来加载到应用里进行一些接口的连接。当时看到这里时还不知道aliyuncs.com的作用是什么因为响应报文被加密了,直到后面经过解密后才知道。继续往下走。

0x04
1713771417547.jpg

1713771439400.jpg

m1458f0调用了m1446r0方法传入了aliyuncs.com的url。m1446r0方法里看到,对aliyuncs.com的域名发起了请求并且把密钥和响应内容传到m2014a方法里。

0x05
1713771570060.jpg

来到m2014a是一段解密方法。在解密的时候遇到一点小问题,主要是IvParameterSpec初始化操作有点蒙,没搞懂他是用的ECB模式还是CBC模式,后来问了一下某位大佬,大佬告诉我是ECB模式没有IV值,直接按顺序解密就行。

0x06
1713771606345.jpg

这里用chatGPT写了一个脚本(非常好用),也是因为没有找到可以做预处理base64解密的工具。之后在charles抓包里找到请求aliyuncs.com的响应包,把密钥和密文复制粘贴进脚本里解密。

0x07
1713771629647.jpg

解密出来也是一堆url。这里可以确定了aliyuncs.com域名也是用来获取地址池的。

0x08
1713772113331.jpg

非aliyuncs.com域名传到m1457g0里,调用了m1444t0方法传入了url。

0x09
1713772145637.jpg

这里没有加解密过程,所以在最开始抓包里可以直接看到明文。

0x0a
1713772261690.jpg

1713772569648(1).jpg

在charles里还发现了另外一个URL,他在c1123类里,这个URL的使用方法和上面提到的一样,也是获取地址池作用。后来经过分析发现这个地址池是给一个图片上传接口提供的,好了本次分析结束。

免费评分

参与人数 11吾爱币 +14 热心值 +10 收起 理由
南笙 + 1 + 1 我很赞同!
soughing + 1 + 1 我很赞同!
Tori97 + 1 用心讨论,共获提升!
温馨提示 + 1 + 1 热心回复!
chinawolf2000 + 1 + 1 热心回复!
rumushiyi + 1 + 1 我很赞同!
西枫游戏 + 1 + 1 加油
shawndanger + 1 我很赞同!
正己 + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
tianyu925 + 1 我很赞同!
kez + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| fengyutongzhou 发表于 2024-4-23 10:04
massagebox 发表于 2024-4-23 09:59
管它用啥地址池,最终也是要链接到服务器呀?除非用反向代{过}{滤}理,主要还是加解密这里666

我的意思是,他自己后台服务器是分布式的,IP地址很多。有拦截需求的是拦截不完的,需要从他在阿里云加载地址池的过程进行拦截。
 楼主| fengyutongzhou 发表于 2024-4-23 09:55
w220913 发表于 2024-4-22 18:37
想问下楼主 你看完正已大佬的视频就能做到逆向分析的吗?感觉你有java的基础呢

看完正己大佬的视频就明白了安卓平台运行应用的大致原理,最起码知道如何反编译如何从代码里下手啊,java方面我肯定是懂一点,但不是很专业,看不懂的地方就问chatgpt,慢慢捯逻辑被。
 楼主| fengyutongzhou 发表于 2024-4-22 16:21
管理先别给我过审了,格式有点问题我重新写重新调一下

点评

我帮你编辑换了一下行,但是还有2个问题,其中: 1、0x02 和0x0a 好像各丢了一个图? 2、文章底部好像有个图没插入到正文中,是不是正好是上面的? 其他的你再检查以下编辑修改即可。  详情 回复 发表于 2024-4-22 16:40
Hmily 发表于 2024-4-22 16:40
fengyutongzhou 发表于 2024-4-22 16:21
管理先别给我过审了,格式有点问题我重新写重新调一下

我帮你编辑换了一下行,但是还有2个问题,其中:
1、0x02 和0x0a 好像各丢了一个图?
2、文章底部好像有个图没插入到正文中,是不是正好是上面的?

其他的你再检查以下编辑修改即可。
 楼主| fengyutongzhou 发表于 2024-4-22 16:45
Hmily 发表于 2024-4-22 16:40
我帮你编辑换了一下行,但是还有2个问题,其中:
1、0x02 和0x0a 好像各丢了一个图?
2、文章底部好像 ...

链接:https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码:b35b   
这是0x02的图
0x0a是两张图片在一个小题里,把最后一句话和最后一张图片换个位置就可以了。

点评

编辑了看一下,下次可以自己编辑修改。  详情 回复 发表于 2024-4-22 16:49
Hmily 发表于 2024-4-22 16:49
fengyutongzhou 发表于 2024-4-22 16:45
链接:https://pan.baidu.com/s/1IJBwzgazjZ5677yP4JcV1A?pwd=b35b
提取码:b35b   
这是0x02的图

编辑了看一下,下次可以自己编辑修改。
yunchu 发表于 2024-4-22 17:32
有点意思
kangyuhang 发表于 2024-4-22 18:15
6啊,学习
w220913 发表于 2024-4-22 18:37
想问下楼主 你看完正已大佬的视频就能做到逆向分析的吗?感觉你有java的基础呢
yinsel 发表于 2024-4-22 19:55
感谢分享,支持,楼主也是研究诈骗app吗
winddu 发表于 2024-4-22 19:59
比较喜欢看技术分享,谢谢加支持楼主
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 07:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表