1. test3.apk 安装到手机

2. 发现其实际逻辑和之前的test2.apk基本一致,逆向so查看到加入了一些检查逻辑

代码:

jstring __fastcall fuck(JNIEnv *env, jclass jcls, jstring str_)

{

......

  if ( !str_ )

    return 0;

  src = (unsigned __int8 *)_JNIEnv::GetStringUTFChars(env, str_, 0);

  v20 = "REAL";

  clazz = _JNIEnv::FindClass(env, "android/os/Build");

  fieldID = _JNIEnv::GetStaticFieldID(env, clazz, "FINGERPRINT", "Ljava/lang/String;");

  StaticObjectField = (_jstring *)_JNIEnv::GetStaticObjectField(env, clazz, fieldID);

  if ( function_check_tracerPID()

    || system_getproperty_check()

    || (StringUTFChars = (char *)_JNIEnv::GetStringUTFChars(env, StaticObjectField, 0), strstr(StringUTFChars, "aosp")) )

  {

    v20 = "FAKE";

  }

  strcat((char *)src, v20);

  obj = (_jobject *)j_o0OoOOOO(env, src);

  Class = _JNIEnv::FindClass(env, "java/security/MessageDigest");

  methodID = _JNIEnv::GetStaticMethodID(env, Class, "getInstance", "(Ljava/lang/String;)Ljava/security/MessageDigest;");

  v4 = j_o0OoOOOO(env, "MD5");

  v14 = _JNIEnv::CallStaticObjectMethod(env, Class, methodID, v4);

  v13 = _JNIEnv::GetMethodID(env, Class, "digest", "([B)[B");

  v12 = _JNIEnv::FindClass(env, "java/lang/String");

  v11 = _JNIEnv::GetMethodID(env, v12, "getBytes", "()[B");

  v10 = _JNIEnv::CallObjectMethod(env, obj, v11);

  array = (_jbyteArray *)_JNIEnv::CallObjectMethod(env, v14, v13, v10);

  ByteArrayElements = _JNIEnv::GetByteArrayElements(env, array, 0);

  for ( i = 0; i <= 15; ++i )

    sprintf((char *)&v27[i], "%02x", (unsigned __int8)ByteArrayElements[i]);

  v26 = (char *)j_ll11l1l1ll(src);

  strcat(v26, (const char *)v27);

  v6 = j_o0OoOOOO(env, (const unsigned __int8 *)v26);

  _JNIEnv::ReleaseStringUTFChars(env, str_, src);

  free(v26);

  return v6;

}

从这里可以看到,增加了一个检查system_getproperty_checkstrstr(StringUTFChars, "aosp"),如果满足条件就会把 REAL 改为 FAKE,追加到字符串后面,那么就怎么都不会成功得到正确结果了

就不会进入到if块中;方案一是strcat的入参,让第二个参数传入时永远是REAL

方案一代码:

function main() {

    Java.perform(function () {

        hookCheck()

        var MainActivityHandler = Java.use('com.roysue.easyso1.MainActivity')

        for (var i = 87650; i <= 87700; i++) {

            var str = i + ""

            var ret = MainActivityHandler.Sign(str)

            if (i % 1000 == 0) {

                console.log("now is", str);

            }

            //console.log(ret)

            if (ret == "57fdeca2cac0509b2e9e5c52a5b573c1608a33ac1ffb9e8210d2e129557e7f1b") {

                console.log("find it : " + str)

                break

            }

        }

        console.log("end : ")

    })

}

function hookCheck() {

    var lib_hanlder = Process.findModuleByName("libroysue.so");

    console.log("lib_handler: " + lib_hanlder)

    if (lib_hanlder) {

        var addr_hook = lib_hanlder.base.add(0x00037226 + 0x1)

        Interceptor.attach(addr_hook,{

            onEnter: function(args) {

                console.log(" === hook before")

                console.log("=== r1:" + this.context.r1.readCString())

                Memory.protect(this.context.r1, 1024, 'rw-')

                this.context.r1.writeUtf8String("REAL")

                console.log("=== r1:" + this.context.r1.readCString())

            },

            onLeave:function(retVal) {

                console.log(" === hook after: ")

                //print_dump(retVal, 128)

                console.log("=== after r1:" + this.context.r1.readCString())

            }

        })

    }

}

setTimeout(main, 2000)

关键汇编代码

.text:00037220 24 91                         STR             R1, [SP,#0xD8+var_48]

.text:00037222 26 98                         LDR             R0, [SP,#0xD8+var_40]   ; char *

.text:00037224 24 99                         LDR             R1, [SP,#0xD8+var_48]   ; char *

.text:00037226 FC F7 00 ED                   BLX             strcat
这里的 0x00037226 就是 strcat 对应的偏移地址,其实也可以hook 0x00037224,结果是一样的(hook的这一行相当于是执行后进入onEnter)

日志:

 === hook before

=== r1:FAKE

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

find it : 87654

end :

从日志上课 onLeave没执行,原因是这里不是一个标准的函数特征,所以没有入栈出栈逻辑,所以就onLeave没执行

【Android逆向】破解看雪test3.apk方案一的更多相关文章

  1. Android逆向破解表单注册程序

    Android逆向破解表单注册程序 Android开发 ADT: android studio(as) 程序界面如下,注册码为6位随机数字,注册成功时弹出通知注册成功,注册失败时弹出通知注册失败. 布 ...

  2. Android逆向破解表单登录程序

    Android逆向破解表单登录程序 Android开发 ADT: android studio(as) 程序界面如下,登录成功时弹出通知登录成功,登录失败时弹出通知登录失败. 布局代码 <?xm ...

  3. Android逆向——破解水果大战

    最近公司需要测试安卓app安全,但安卓基本上0基础,决定开始学习下安卓逆向根据吾爱破解上教程 <教我兄弟学Android逆向系列课程+附件导航帖> https://www.52pojie. ...

  4. Android逆向 破解第一个Android程序

    这节正式开始破解编写的第一个Android工程,打开Android Killer,把第一节自己编写的Android apk拖入Android Killer. PS: 如果Android Killer不 ...

  5. Android逆向破解:Android Killer使用

    目录   目录 软件介绍 Android Killer是一款可以对APK进行反编译的工具,它能够对反编译后的Smali文件进行修改,并将修改后的文件进行打包. 软件下载 这里用的是@昨夜星辰2012 ...

  6. Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)

    Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码) 来源 https://blog.csdn.net/jiangwei0910410003/article/details/51 ...

  7. Android 逆向实战篇(加密数据包破解)

    1. 实战背景由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了. 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长, ...

  8. Android逆向分析(2) APK的打包与安装背后的故事

    前言 上一次我们反编译了手Q,并遇到了Apktool反编译直接crash的问题,虽然笔者很想在这次解决这个问题,但在解决途中,发现该保护依赖于很多知识,所以本次先插入一下,正所谓知其然知其所以然,授之 ...

  9. Android逆向分析(2) APK的打包与安装

    http://blog.zhaiyifan.cn/2016/02/13/android-reverse-2/ 2/18日增加对aidl和java编译的描述. 前言 上一次我们反编译了手Q,并遇到了Ap ...

  10. 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...

随机推荐

  1. [转帖]前后台切换命令(ctrl+z jobs bg fg &)

    当我在终端里面运行某个命令的时候,结果不是很快就能出来的那种,或者是一大堆字在屏幕上狂翻.这个时候,有时ctrl+c也不起作用,那我会用ctrl+z退出来,这个很有效,但是说实话我不知道为什么这个可以 ...

  2. [转帖]Kafka主题与分区

    https://zhuanlan.zhihu.com/p/428845986#:~:text=%E4%B8%80%E3%80%81kafka-topics.sh%E6%93%8D%E4%BD%9C%2 ...

  3. [转帖]优化超大 Nginx 配置导致的内存碎片

    https://blog.openresty.com.cn/cn/ngx-cycle-pool-frag/?src=org_news 章亦春发布于 Feb 14, 2023更新于 Mar 2, 202 ...

  4. [转帖]SPEC2006移入docker后的运行问题

    https://www.cnblogs.com/csxyc/p/7157890.html 实验需要给SPEC2006的benchmark绑定CPUID,于是想到用docker分配CPU资源,写一个简单 ...

  5. [转帖]Elasticsearch 技术分析(五):如何通过SQL查询Elasticsearch

    https://www.cnblogs.com/jajian/p/10053504.html 前言# 这篇博文本来是想放在全系列的大概第五.六篇的时候再讲的,毕竟查询是在索引创建.索引文档数据生成和一 ...

  6. ARC150D - Removing Gacha (树上期望)

    Link 题意: 给一棵 \(n\) 个节点的树,称一个点是好的,当且仅当它到根的路径上都是黑色(包括自己).每次在不好的节点中随机选一个把它涂成黑色(不管原来它是否是白的),直到所有点都是好的为止. ...

  7. 【调研】VictoriaMetrics的上报api能否替换prometheus的api?

    prometheus的上报api在:https://github.com/prometheus/client_golang VictoriasMetrics的上报API在:https://github ...

  8. go generate命令简介

    最近在研究kratos的使用,发现在kratos run之前会先运行go generate ./...命令. 这个命令之前没怎么用过,所以决定学习下该命令的用法. go generate是Go语言中的 ...

  9. ffmpeg修改文件格式

    http://ffmpeg.org/ 官网下载windows版本 进这个文件夹 随便找一个格式的文件我这里以mp4 放在这个文件夹里面 然后状态栏输入cmd 输入下方命令代码 ffmpeg -i 66 ...

  10. 【七】强化学习之Policy Gradient---PaddlePaddlle【PARL】框架{飞桨}

    相关文章: [一]飞桨paddle[GPU.CPU]安装以及环境配置+python入门教学 [二]-Parl基础命令 [三]-Notebook.&pdb.ipdb 调试 [四]-强化学习入门简 ...