1. test3.apk 安装到手机

2. 发现其实际逻辑和之前的test2.apk基本一致,逆向so查看到加入了一些检查逻辑

代码:

jstring __fastcall fuck(JNIEnv *env, jclass jcls, jstring str_)

{

......

  if ( !str_ )

    return 0;

  src = (unsigned __int8 *)_JNIEnv::GetStringUTFChars(env, str_, 0);

  v20 = "REAL";

  clazz = _JNIEnv::FindClass(env, "android/os/Build");

  fieldID = _JNIEnv::GetStaticFieldID(env, clazz, "FINGERPRINT", "Ljava/lang/String;");

  StaticObjectField = (_jstring *)_JNIEnv::GetStaticObjectField(env, clazz, fieldID);

  if ( function_check_tracerPID()

    || system_getproperty_check()

    || (StringUTFChars = (char *)_JNIEnv::GetStringUTFChars(env, StaticObjectField, 0), strstr(StringUTFChars, "aosp")) )

  {

    v20 = "FAKE";

  }

  strcat((char *)src, v20);

  obj = (_jobject *)j_o0OoOOOO(env, src);

  Class = _JNIEnv::FindClass(env, "java/security/MessageDigest");

  methodID = _JNIEnv::GetStaticMethodID(env, Class, "getInstance", "(Ljava/lang/String;)Ljava/security/MessageDigest;");

  v4 = j_o0OoOOOO(env, "MD5");

  v14 = _JNIEnv::CallStaticObjectMethod(env, Class, methodID, v4);

  v13 = _JNIEnv::GetMethodID(env, Class, "digest", "([B)[B");

  v12 = _JNIEnv::FindClass(env, "java/lang/String");

  v11 = _JNIEnv::GetMethodID(env, v12, "getBytes", "()[B");

  v10 = _JNIEnv::CallObjectMethod(env, obj, v11);

  array = (_jbyteArray *)_JNIEnv::CallObjectMethod(env, v14, v13, v10);

  ByteArrayElements = _JNIEnv::GetByteArrayElements(env, array, 0);

  for ( i = 0; i <= 15; ++i )

    sprintf((char *)&v27[i], "%02x", (unsigned __int8)ByteArrayElements[i]);

  v26 = (char *)j_ll11l1l1ll(src);

  strcat(v26, (const char *)v27);

  v6 = j_o0OoOOOO(env, (const unsigned __int8 *)v26);

  _JNIEnv::ReleaseStringUTFChars(env, str_, src);

  free(v26);

  return v6;

}

从这里可以看到,增加了一个检查system_getproperty_checkstrstr(StringUTFChars, "aosp"),如果满足条件就会把 REAL 改为 FAKE,追加到字符串后面,那么就怎么都不会成功得到正确结果了

就不会进入到if块中;方案一是strcat的入参,让第二个参数传入时永远是REAL

方案一代码:

function main() {

    Java.perform(function () {

        hookCheck()

        var MainActivityHandler = Java.use('com.roysue.easyso1.MainActivity')

        for (var i = 87650; i <= 87700; i++) {

            var str = i + ""

            var ret = MainActivityHandler.Sign(str)

            if (i % 1000 == 0) {

                console.log("now is", str);

            }

            //console.log(ret)

            if (ret == "57fdeca2cac0509b2e9e5c52a5b573c1608a33ac1ffb9e8210d2e129557e7f1b") {

                console.log("find it : " + str)

                break

            }

        }

        console.log("end : ")

    })

}

function hookCheck() {

    var lib_hanlder = Process.findModuleByName("libroysue.so");

    console.log("lib_handler: " + lib_hanlder)

    if (lib_hanlder) {

        var addr_hook = lib_hanlder.base.add(0x00037226 + 0x1)

        Interceptor.attach(addr_hook,{

            onEnter: function(args) {

                console.log(" === hook before")

                console.log("=== r1:" + this.context.r1.readCString())

                Memory.protect(this.context.r1, 1024, 'rw-')

                this.context.r1.writeUtf8String("REAL")

                console.log("=== r1:" + this.context.r1.readCString())

            },

            onLeave:function(retVal) {

                console.log(" === hook after: ")

                //print_dump(retVal, 128)

                console.log("=== after r1:" + this.context.r1.readCString())

            }

        })

    }

}

setTimeout(main, 2000)

关键汇编代码

.text:00037220 24 91                         STR             R1, [SP,#0xD8+var_48]

.text:00037222 26 98                         LDR             R0, [SP,#0xD8+var_40]   ; char *

.text:00037224 24 99                         LDR             R1, [SP,#0xD8+var_48]   ; char *

.text:00037226 FC F7 00 ED                   BLX             strcat
这里的 0x00037226 就是 strcat 对应的偏移地址,其实也可以hook 0x00037224,结果是一样的(hook的这一行相当于是执行后进入onEnter)

日志:

 === hook before

=== r1:FAKE

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

find it : 87654

end :

从日志上课 onLeave没执行,原因是这里不是一个标准的函数特征,所以没有入栈出栈逻辑,所以就onLeave没执行

【Android逆向】破解看雪test3.apk方案一的更多相关文章

  1. Android逆向破解表单注册程序

    Android逆向破解表单注册程序 Android开发 ADT: android studio(as) 程序界面如下,注册码为6位随机数字,注册成功时弹出通知注册成功,注册失败时弹出通知注册失败. 布 ...

  2. Android逆向破解表单登录程序

    Android逆向破解表单登录程序 Android开发 ADT: android studio(as) 程序界面如下,登录成功时弹出通知登录成功,登录失败时弹出通知登录失败. 布局代码 <?xm ...

  3. Android逆向——破解水果大战

    最近公司需要测试安卓app安全,但安卓基本上0基础,决定开始学习下安卓逆向根据吾爱破解上教程 <教我兄弟学Android逆向系列课程+附件导航帖> https://www.52pojie. ...

  4. Android逆向 破解第一个Android程序

    这节正式开始破解编写的第一个Android工程,打开Android Killer,把第一节自己编写的Android apk拖入Android Killer. PS: 如果Android Killer不 ...

  5. Android逆向破解:Android Killer使用

    目录   目录 软件介绍 Android Killer是一款可以对APK进行反编译的工具,它能够对反编译后的Smali文件进行修改,并将修改后的文件进行打包. 软件下载 这里用的是@昨夜星辰2012 ...

  6. Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)

    Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码) 来源 https://blog.csdn.net/jiangwei0910410003/article/details/51 ...

  7. Android 逆向实战篇(加密数据包破解)

    1. 实战背景由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了. 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长, ...

  8. Android逆向分析(2) APK的打包与安装背后的故事

    前言 上一次我们反编译了手Q,并遇到了Apktool反编译直接crash的问题,虽然笔者很想在这次解决这个问题,但在解决途中,发现该保护依赖于很多知识,所以本次先插入一下,正所谓知其然知其所以然,授之 ...

  9. Android逆向分析(2) APK的打包与安装

    http://blog.zhaiyifan.cn/2016/02/13/android-reverse-2/ 2/18日增加对aidl和java编译的描述. 前言 上一次我们反编译了手Q,并遇到了Ap ...

  10. 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...

随机推荐

  1. [转帖]docker-compose完全清除

    https://www.cnblogs.com/gelandesprung/p/12112420.html#:~:text=docker-compose%E5%AE%8C%E5%85%A8%E6%B8 ...

  2. 【转帖】16.JVM栈帧内部结构-局部变量表

    目录 1.局部变量表(Local variables) 1.局部变量表(Local variables) 1.局部变量表也称为局部变量数组或本地变量表. 2.局部变量表定义为一个数字数组,主要用于存储 ...

  3. [转帖]ubuntu下配置iptables、ufw端口转发

    iptables 端口转发(CentOS) 注意:一来一去 在中转服务器操作 iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT -- ...

  4. Oracle 修改参数

    alter system set sga_max_size=30720M scope=spfile; alter system set sga_target=30720M; alter system ...

  5. js中toString方法的三个作用

    toString方法的三个作用: 1.返回一个[表示对象]的[字符串] 2.检测对象的类型 Object.prototype.toString.call(arr)==="[object Ar ...

  6. go中bufio使用小结

    bufio 前言 例子 bufio 源码解析 Reader对象 实例化 ReadSlice ReadString ReadLine Peek Scanner Give me more data Err ...

  7. 监控Celery不一定非要使用Flower

    运维平台中有许多的周期/定时/异步任务,例如证书扫描.数据备份.日志清理.线上作业等等,这些任务的执行都是借助于Celery来完成的.任务多了之后就会遇到一系列的问题,例如我之前写过的将任务分多队列来 ...

  8. window下部署单机hadoop环境

    window本地部署单机hadoop,修改配置文件和脚本如下,只记录关键配置和步骤,仅供参考 hadoop-2.6.5 spark-2.3.3 1.配置文件core-site.xml <conf ...

  9. 微服务保护-Sentinel

    1.初识Sentinel 1.1.雪崩问题及解决方案 1.1.1.雪崩问题 微服务中,服务间调用关系错综复杂,一个微服务往往依赖于多个其它微服务. 如图,如果服务提供者I发生了故障,当前的应用的部分业 ...

  10. .NET NativeAOT 指南

    .NET NativeAOT 指南 随着 .NET 8 的发布,一种新的"时尚"应用模型 NativeAOT 开始在各种真实世界的应用中广泛使用. 除了对 NativeAOT 工具 ...