1. test3.apk 安装到手机

2. 发现其实际逻辑和之前的test2.apk基本一致,逆向so查看到加入了一些检查逻辑

代码:

jstring __fastcall fuck(JNIEnv *env, jclass jcls, jstring str_)

{

......

  if ( !str_ )

    return 0;

  src = (unsigned __int8 *)_JNIEnv::GetStringUTFChars(env, str_, 0);

  v20 = "REAL";

  clazz = _JNIEnv::FindClass(env, "android/os/Build");

  fieldID = _JNIEnv::GetStaticFieldID(env, clazz, "FINGERPRINT", "Ljava/lang/String;");

  StaticObjectField = (_jstring *)_JNIEnv::GetStaticObjectField(env, clazz, fieldID);

  if ( function_check_tracerPID()

    || system_getproperty_check()

    || (StringUTFChars = (char *)_JNIEnv::GetStringUTFChars(env, StaticObjectField, 0), strstr(StringUTFChars, "aosp")) )

  {

    v20 = "FAKE";

  }

  strcat((char *)src, v20);

  obj = (_jobject *)j_o0OoOOOO(env, src);

  Class = _JNIEnv::FindClass(env, "java/security/MessageDigest");

  methodID = _JNIEnv::GetStaticMethodID(env, Class, "getInstance", "(Ljava/lang/String;)Ljava/security/MessageDigest;");

  v4 = j_o0OoOOOO(env, "MD5");

  v14 = _JNIEnv::CallStaticObjectMethod(env, Class, methodID, v4);

  v13 = _JNIEnv::GetMethodID(env, Class, "digest", "([B)[B");

  v12 = _JNIEnv::FindClass(env, "java/lang/String");

  v11 = _JNIEnv::GetMethodID(env, v12, "getBytes", "()[B");

  v10 = _JNIEnv::CallObjectMethod(env, obj, v11);

  array = (_jbyteArray *)_JNIEnv::CallObjectMethod(env, v14, v13, v10);

  ByteArrayElements = _JNIEnv::GetByteArrayElements(env, array, 0);

  for ( i = 0; i <= 15; ++i )

    sprintf((char *)&v27[i], "%02x", (unsigned __int8)ByteArrayElements[i]);

  v26 = (char *)j_ll11l1l1ll(src);

  strcat(v26, (const char *)v27);

  v6 = j_o0OoOOOO(env, (const unsigned __int8 *)v26);

  _JNIEnv::ReleaseStringUTFChars(env, str_, src);

  free(v26);

  return v6;

}

从这里可以看到,增加了一个检查system_getproperty_checkstrstr(StringUTFChars, "aosp"),如果满足条件就会把 REAL 改为 FAKE,追加到字符串后面,那么就怎么都不会成功得到正确结果了

就不会进入到if块中;方案一是strcat的入参,让第二个参数传入时永远是REAL

方案一代码:

function main() {

    Java.perform(function () {

        hookCheck()

        var MainActivityHandler = Java.use('com.roysue.easyso1.MainActivity')

        for (var i = 87650; i <= 87700; i++) {

            var str = i + ""

            var ret = MainActivityHandler.Sign(str)

            if (i % 1000 == 0) {

                console.log("now is", str);

            }

            //console.log(ret)

            if (ret == "57fdeca2cac0509b2e9e5c52a5b573c1608a33ac1ffb9e8210d2e129557e7f1b") {

                console.log("find it : " + str)

                break

            }

        }

        console.log("end : ")

    })

}

function hookCheck() {

    var lib_hanlder = Process.findModuleByName("libroysue.so");

    console.log("lib_handler: " + lib_hanlder)

    if (lib_hanlder) {

        var addr_hook = lib_hanlder.base.add(0x00037226 + 0x1)

        Interceptor.attach(addr_hook,{

            onEnter: function(args) {

                console.log(" === hook before")

                console.log("=== r1:" + this.context.r1.readCString())

                Memory.protect(this.context.r1, 1024, 'rw-')

                this.context.r1.writeUtf8String("REAL")

                console.log("=== r1:" + this.context.r1.readCString())

            },

            onLeave:function(retVal) {

                console.log(" === hook after: ")

                //print_dump(retVal, 128)

                console.log("=== after r1:" + this.context.r1.readCString())

            }

        })

    }

}

setTimeout(main, 2000)

关键汇编代码

.text:00037220 24 91                         STR             R1, [SP,#0xD8+var_48]

.text:00037222 26 98                         LDR             R0, [SP,#0xD8+var_40]   ; char *

.text:00037224 24 99                         LDR             R1, [SP,#0xD8+var_48]   ; char *

.text:00037226 FC F7 00 ED                   BLX             strcat
这里的 0x00037226 就是 strcat 对应的偏移地址,其实也可以hook 0x00037224,结果是一样的(hook的这一行相当于是执行后进入onEnter)

日志:

 === hook before

=== r1:FAKE

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

 === hook before

=== r1:REAL

=== r1:REAL

find it : 87654

end :

从日志上课 onLeave没执行,原因是这里不是一个标准的函数特征,所以没有入栈出栈逻辑,所以就onLeave没执行

【Android逆向】破解看雪test3.apk方案一的更多相关文章

  1. Android逆向破解表单注册程序

    Android逆向破解表单注册程序 Android开发 ADT: android studio(as) 程序界面如下,注册码为6位随机数字,注册成功时弹出通知注册成功,注册失败时弹出通知注册失败. 布 ...

  2. Android逆向破解表单登录程序

    Android逆向破解表单登录程序 Android开发 ADT: android studio(as) 程序界面如下,登录成功时弹出通知登录成功,登录失败时弹出通知登录失败. 布局代码 <?xm ...

  3. Android逆向——破解水果大战

    最近公司需要测试安卓app安全,但安卓基本上0基础,决定开始学习下安卓逆向根据吾爱破解上教程 <教我兄弟学Android逆向系列课程+附件导航帖> https://www.52pojie. ...

  4. Android逆向 破解第一个Android程序

    这节正式开始破解编写的第一个Android工程,打开Android Killer,把第一节自己编写的Android apk拖入Android Killer. PS: 如果Android Killer不 ...

  5. Android逆向破解:Android Killer使用

    目录   目录 软件介绍 Android Killer是一款可以对APK进行反编译的工具,它能够对反编译后的Smali文件进行修改,并将修改后的文件进行打包. 软件下载 这里用的是@昨夜星辰2012 ...

  6. Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)

    Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码) 来源 https://blog.csdn.net/jiangwei0910410003/article/details/51 ...

  7. Android 逆向实战篇(加密数据包破解)

    1. 实战背景由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了. 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长, ...

  8. Android逆向分析(2) APK的打包与安装背后的故事

    前言 上一次我们反编译了手Q,并遇到了Apktool反编译直接crash的问题,虽然笔者很想在这次解决这个问题,但在解决途中,发现该保护依赖于很多知识,所以本次先插入一下,正所谓知其然知其所以然,授之 ...

  9. Android逆向分析(2) APK的打包与安装

    http://blog.zhaiyifan.cn/2016/02/13/android-reverse-2/ 2/18日增加对aidl和java编译的描述. 前言 上一次我们反编译了手Q,并遇到了Ap ...

  10. 看雪论坛 破解exe 看雪CTF2017第一题分析-『CrackMe』-看雪安全论坛

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha 逆向 黑客 破解 学习 论坛 『CrackMe』 http://bbs.pediy.co ...

随机推荐

  1. [转帖]VMware Converter (P2V迁移)问题汇总

    https://www.dinghui.org/vmware-converter-p2v.html VMware vCenter Converter Standalone,是一种用于将虚拟机和物理机转 ...

  2. [转帖]2.20 Native Operating System Tools

    https://docs.oracle.com/javase/8/docs/technotes/guides/troubleshoot/tooldescr020.html#BABBHHIE 2.20  ...

  3. IIS 实现autoindex的简单方法 能够下载文件等.

    之前使用nginx 的autoindex on 的参数 能够实现了 nginx的 目录浏览查看文件 但是那是linux上面的 windows 上面很多 使用的 其实是 iis的居多 然后看了下 其实也 ...

  4. Linux 内核参数

    /proc/sys/net/ipv4: ip_local_port_range:定义了TCP或UDP对目标发起连接所选择的本地端口范围(除ip_local_reserved_ports之外),其定义受 ...

  5. 【分享一个工具】根据 /metrics 路径下的文本信息,自动生成包含所有 metrics 的 grafana 报表

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu Github 公众号:一本正经的瞎扯 在做某个服务对应的 grafana 监控报表的时候发现,一 ...

  6. Vue基础系列文章11---router基本使用

    1.系统中引入路由js文件,加两个连接,分别到用户管理和用户注册页面 <router-link to="/user">用户列表</router-link> ...

  7. Leetcode 面试题22. 链表中倒数第k个节点 Java语言求解

    题目链接 https://leetcode-cn.com/problems/lian-biao-zhong-dao-shu-di-kge-jie-dian-lcof/ 题目内容 输入一个链表,输出该链 ...

  8. Mysql 8.0前后,实现创建用户,指定用户只能访问指定的数据库中的表

    最近在做公司项目的过程中,出现了这样的需求.第三方系统需要将数据写到我们的业务系统中,由于目前这些数据没有实际的使用场景,在讨论下,为简单快捷,选择第二种方案,即不书写接口,第三方系统通过数据库直接将 ...

  9. 月薪10K码农,跳槽到40K架构师,技术学习路线图汇总

    作者:小傅哥 博客:https://bugstack.cn 沉淀.分享.成长,让自己和他人都能有所收获! 一.介绍 Hey there! Roadmap to becoming a web devel ...

  10. 多进程实现socket通信(Python)

    服务器端: #__author__:Kelvin #date:2020/5/9 11:35 import socket from multiprocessing import Process def ...