逆向分析uni-app伪装外挂诈骗套路

laoser

前言
声明：本文仅供学习交流使用，所涉及的APP破解版不提供下载渠道。所涉及的技术请勿用于非法活动，否则所带来的一切后果自负。
软件界面
该软件是伪装成一款棋牌外挂，需要找客服购买激活码进行激活，APP功能就是一个UI进行展示而已，没激活按钮默认是不可选中状态。

使用工具
● Goole Chrome / Mocrosoft Edge
● SimpleHook / 算法助手Pro
● 雷电模拟器
● HttpCanary
软件分析
数字加固，不影响分析，我们使用开发者工具动态调试

源码其实都在assets/apps/{$ID}/www/这个文件夹

SimpleHook中打开WebViewDebug

算法助手中打开WebViewDebug

浏览器动态调试，搜索框输入
Chrome：chrome://inspect/#devices
Edge：edge://inspect/#devices

开发者模式adb连接模拟器
adb connect 127.0.0.1:7555
每个模拟器使用的默认端口不一样，Android11以及以下版本是默认5555端口号
以后版本是随机6位数端口号，但是这个是可以在编译系统镜像时就修改的，不细说。

连接成功即可看到正在运行的uni-app，无法访问到资源，需使用梯子，被墙拦截

直接连接会无法访问到资源，也有可能是因为本地浏览器使用的WebVeiw版本小于uni-app使用的版本

正确连接后即可显示

使用Devtools Source下分析源码

而破解可以直接修改如下，发送成功就授权

直接修改动态调试源码，此方法不会同步到实际源码中

配合HttpCanary注入修改响应体为长度32的字符串

授权成功可以直接点击

点击开始加载后显示修改成功

判断基本逻辑就在这里，点击开始就显示个UI效果，Root权限也没获取，内存也没注入，它拿什么去透视。

ghost9528

好奇大佬是如何在没脱壳的情况下。分析得出源码位置：assets/apps/{$ID}/www/得。

你就是我的阳光

ghost9528 发表于 2024-8-9 17:39
好奇大佬是如何在没脱壳的情况下。分析得出源码位置：assets/apps/{$ID}/www/得。

你其实下载过uniapp看过他们的文档进行过离线编译就知道源码在哪里

空城^

这是蓝鸟开发的

laoser

空城^ 发表于 2024-8-10 06:44
这是蓝鸟开发的

蓝鸟还是调用的uni-app

空城^

laoser 发表于 2024-8-10 06:45
蓝鸟还是调用的uni-app

这个确实

1188

ghost9528 发表于 2024-8-9 17:39
好奇大佬是如何在没脱壳的情况下。分析得出源码位置：assets/apps/{$ID}/www/得。

uniapp的程序本质上就是一个浏览器，用户的程序就是里面的html，加壳仅仅是加了外层的原生程序，里面资源内容并未保护。直接就可以复制出现。

孤心

有样本链接吗 想复现下试试

yinyubo

真的有这种外挂吗？佛说，有元求教

laoser

yinyubo 发表于 2024-9-8 11:09
真的有这种外挂吗？佛说，有元求教

没有 这种都是骗人的