安卓逆向——某力播逆向分析(脱壳)

一、环境

这一步真的头疼，环境很重要，各种测试，一下是我测试的环境，由于没有真机，就拿虚拟机做测试

1. Xposed 2.FDex2 3. fiddler 4.软件

二、抓包

通过 fiddler 抓包分析参数

可以看到，俩次请求的参数， udid 是一样，可以不用变，timestamp 应该是个时间戳，signature 可以经过某种变化的，也是主要分析的

三、脱壳

1、查看加固

首先对apk进行反编译

# 首先对apk进行反编译

apktool d com.iCitySuzhou.suzhou_8.2.apk

进入到反编译后的文件夹

进入到反编译后的文件夹

cd com.iCitySuzhou.suzhou_8.2

查看lib文件夹下的so文件

.

├── libBugly.so

├── libYLEncode.so

├── libjcore110.so

├── liblbs.so

├── liblocSDK6a.so

├── libshella-2.9.0.2.so

├── libshellx-2.9.0.2.so

├── mix.dex

└── mixz.dex

如何确认是什么加固呢？ 不同的加固厂商有不同的加固特征， 查看lib下的so文件libshella这个就是 乐加固 的特征，可以直接百度搜索一下， 不知道如何确认 就把每个文件都在百度搜索一下。

2、进行脱壳

通过上一步我们知道了该App为乐加固， 现在我们通过FDex2来进行脱壳, 打开我们已经安装好的FDex2

点击引力播

将这几个文件 使用adb pull 拉取到本地

使用jadx把这几个文件打开看下， 看看哪个是我们所需要的脱壳后的文件,

经过验证com.iCitySuzhou.suzhou0015542488.dex

这个就是我们脱壳后所需要的文件。 脱壳成功

四、signature分析

1、定位signature

全局搜索signature

可以看到很多结果，这个就需要自己一个一个去看看，去找到正确的，

可以看到这里，应该可以看出是个赋值的操作吧，点进去

我这里用了反混淆，更好的分析代码，不然搜索一下出现很多不太好分析，找到 那个方法 鼠标右击 跳转申明 （跳到申明函数的地方）

（这里反混淆，只是吧方法或者变量变成 唯一的好查找而已，工具----》反混淆）

m12059a(udid, valueOf) 这里传了俩个参数，应该udid 应该获取的设备号，valueOf 是获取的时间戳

这里 signature 参数方法，在 跳转声明 到下面这个地方，这里应该是调用了什么 MD5 的加密方法

通过 上面应该函数的 参数，进行 MD5 加密 在经过 字节偏移 得到的值

这里 有俩种方法，1. 自己重写 signature算法 2. 复制 原来的 java 代码

我用 第二种方法吧，

1. 复制 java代码，保持为 java 文件

2. 编译Java成classjavac MySig.java

2. 把class文件打包成jar包 jar cvf (新jar的名字) (.class文件，多个则中间用空格隔开)

如： jar cvftest.jar test.classtest2.class

3. python 来执行 jar 包 ，jpype 包，，用 pip installjpype1 安装

5. 撸代码

把 3个signature ，timestamp，udid 参数配置好就可以模拟请求了。代码如下

from jpype import *

import time

import requests

uuid = 'IMEI860000000065903-IMSI460001993232212'

# udid = "IMEI867686021698806-IMSI460NNNNNNNNNNNN"

str_2 = str(int(time.time()))

str_1 = "f1190aca-d08e-4041-8666-29931cd89dde"

str_sign = "%s&&%s&&%s"%(uuid,str_2,str_1)

def Getsignature(str_sign):

jvm_path = getDefaultJVMPath()

jar_path = 'F:\\mysig.jar' # jar包路径

startJVM(jvm_path, '-ea', '-Djava.class.path=%s' % jar_path) # 启动虚拟机

JClass2 = JClass('mysig')

instance = JClass2()

sum = str(instance.get_sign(str_sign))

print(type(sum),str(sum))

print(type(str(sum)),str(sum))

# shutdownGuiEnvironment()

# shutdownJVM()

return sum

def GetDate(signature):

Headers = {

'sys': 'Android',

'sysVersion': '6.0.1',

'appVersion': '8.2',

'appVersionCode': '54',

'udid': uuid,

'clientType': 'android',

'timestamp': str_2,

'signature': signature,

'Host': 'app.suzhou-',

'Connection': 'Keep-Alive',

'Accept-Encoding': 'gzip',

'User-Agent': 'okhttp/3.9.0',

}

for i in range(1,100):

Url = 'https://app.suzhou-/api/v1/appNews/getBannerNewsList7?page={}&bannerID=11 '.format(i)

res = requests.get(Url,headers=Headers, verify=False)

print('弟 %s 页'%(i),res.json())

模拟请求了100页，下面是 运行的结果，

作者源代码下载

补充 ：

环境要慢慢测试，模拟器很多问题，建议真机，最好 Android 6 ，以下是我测试过的环境

前言

之前介绍了普通常见的反编译模式 但对于使用了360加固 棒棒 爱加密 等等的加固应用就没办法了、

你会发现反编译出来的dex 只有几个类 逻辑都是调用so

真正的dex会被加载到内存中隐藏起来 加固应用都是多dex这种形式

要想拿到他真正的dex 需要进行脱壳处理 基本原理都是从内存中dump我一般会先用工具来尝试 不行的话就得上 IDA（反汇编神器）超级强的一个工

具 杀手级别 贯穿移动端 PC端的逆向 但使用IDA 进行静态分析 动态调试脱壳就变的很麻烦了 而且并不是一两天能学会的

以后会介绍使用 我们今天先用工具尝试简单的脱壳

ZjDroid工具介绍

ZjDroid是基于Xposed Framewrok的动态逆向分析模块，逆向分析者可以通过ZjDroid完成以下工作： 1、DEX文件的内存dump 2、基于Dalvik关键指针的内存BackSmali，有效破解主流加固方案 3、敏感API的动态监控 4、指定内存区域数据dump 5、获取应用加载DEX信息。 6、获取指定DEX文件加载类信息。 7、dump Dalvik java堆信息。 8、在目标进程动态运行lua脚本。

ZjDroid github开源的一个项目 主要功能就是脱壳 基于内存dump 其他功能一般 作者很NB 总有些人可以把Xposed玩出花来

我下篇博客会介绍一个针对安卓端应用分析工具 很强大！

工具准备

已ROOT手机一台并装好xpsoed框架在装上ZjDroid模块

JEB apk专业逆向工具 但是和IDA一样要花钱 吾爱论坛提供破解版本

这里提一下jeb的优势 可以直接打开apk进行反编译 而已还原效果好

jd-gui看反编译出来的jar(源码)有些代码为注释状态 显示不出来 但JEB 肯定可以全部还原

爱盘地址ZjDroid地址

实战案例

某个朋友托我逆向个应用 叫微丢丢 微信营销的 去官网下载APK 拖到JEB里简单的看了下

只有几个类 一看就是加固应用 并且使用的是360加固 这种结构的类 在有个Application 铁定的加固应用

至于做了哪些操作 基本都是常见的套路 释放so文件 到应用沙盒目录下

注意 JEB 反编译出来的代码 初始状态都为smali 需要用快捷键Q或者鼠标右键Decompile下

简单分析过后 下载apk到安装好ZjDroid的手机中 打开应用到主界面

我们需要获取这个应用的pid值 这就需要用到一个命令了 PC端 WIN+X+R CMD 进入CMD窗口输入命令

命令：adb shell dumpsys activity top

获取到当前程序的Activity信息 这个命令很实用 最好记一下

如果显示过多 可以写成 adb shell dumpsys activity top |more 按行输出

获取这个应用的包名 com.haiqu.oem 还要牢记这个pid 8445之后的操作都会用到他

接着我们来使用pid查看这个应用在手机里面 dex 所在的位置

查询 dex 信息 所在位置

am broadcast -a com.zjdroid.invoke --ei target8445--es cmd '{action:dump_dexinfo}'

有些时候输入这条命令会报一条警告:

WARNING: linker: app_process has text relocations. This is wasting memory and is a security risk. Please fix.

WARNING: linker: app_process has text relocations. This is wasting memory and is a security risk. Please fix.

警告：链接器：app_process有文本重定位。 这是浪费记忆，是一个安全隐患。 请修复

无视就可以 警告而已

记住先adb shell 一下进到手机目录 在输入这条命令

输入这条命令 我们发现并没有什么实际的变化 需要使用ZjDroid 特有的查看LOG命令

LOG 查询 后戳为你要查询应用的包名

adb logcat -s zjdroid-shell-com.haiqu.oem

记住在开个CMD窗口哦

这就获取到了 apk所在的位置 filepath: /data/app/com.haiqu.oem-1.apk记下来 下一步我们会用到这个

这里说明下5792 是我重启了次手机 pid变成了5792

开始脱壳 命令：

am broadcast -a com.zjdroid.invoke --ei target5792--es cmd '{action:backsmali, "dexpath":"/data/app/com.haiqu.oem-1.apk"}'

输入完命令 回到LOG cmd窗口进行查看

上面的/data/data/com.haiqu.oem/files/dexfile.dex 就是脱出来的dex 拿到了dex基本就是拿到了源码

我们使用RE文件管理器 进到这个目前下 直接使用QQ发送电脑不行 该文件不支持此操作

需要把他挪到根目录下 在使用豌豆荚或者其他工具 直接发送到电脑上

在使用 安卓逆向助手把dex转成jar 或者用dexjar 都行 就可以使用jd-gui直接查看代码工具很多 我之前有一篇博客介绍了安卓逆向助手的使用 不懂的可以去看下 JEB也可以直接打开dex格式文件 直接进行查看

总结

到这里这个工具最重要的功能介绍完毕 很简单 但也能对付一些普通加壳应用

如果觉得《安卓逆向之基于Xposed-ZjDroid脱壳 逆向分析(脱壳)》对你有帮助，请点赞、收藏，并留下你的观点哦！