• 现在很多的app使用了so加密,以后会越来越多。爬虫工程师可能会直接逆向app,看java代码,完成java层的算法破解,但是如果遇到so该怎么办呢?可能你会直接破解so,但是真的会有很多爬虫工程师会去并且会破解so吗?有时候我们可以不用破解so,利用很多大佬写好的轮子即可完成so的调用。
  • 说到调用,就有很多方法了,比如用frida的rpc、xposed+andserver、再者就是unicorn+web框架等等,今天要说的并不是这些,而是unidbg,这框架有什么好的地方呢?看看介绍。

介绍(来自逸飞)

unidbg 是一个基于 unicorn 的逆向工具,可以黑盒调用安卓和 iOS 中的 so 文件。unidbg 是一个标准的 java 项目。

由于现在的大多数 app 把签名算法已经放到了 so 文件中,所以要想破解签名算法,必须能够破解 so 文件。但是我们知道,C++ 的逆向远比 Java 的逆向要难得多了,所以好多时候是没法破解的,那么这个时候还可以采用 hook 的方法,直接读取程序中算出来的签名,但是这样的话,需要实际运行这个应用,需要模拟器或者真机,效率又不是很高。

unidbg 就是一个很巧妙地解决方案,他不需要直接运行 app,也无需逆向 so 文件,而是通过在 app 中找到对应的 JNI 接口,然后用 unicorn 引擎直接执行这个 so 文件,所以效率也比较高。

  • 这里重要的是目前利用unidbg+springboot做成了web服务。

食用

案例来自JXU2QkQyYXBwJTIwdjQuMTYuMA==

对于该app而言,是非常适合入门的一个app,未加固、算法简单、很容易找到so的jni。

先去凯神的github上下载https://github.com/zhkl0228/unidbg

下载完毕用idea打开,等待maven下载完毕。我这里已经创建好du的文件。



上个代码看着比较方便,代码中有很多注释

public class du extends AbstractJni {

    //ARM模拟器

    private final ARMEmulator emulator;

    //vm

    private final VM vm;

    //载入的模块

    private final Module module;

    private final DvmClass TTEncryptUtils;

    //初始化

    public du() throws IOException {

        //创建app进程,这里其实可以不用写的,我这里是随便写的,使用app本身的进程就可以绕过进程检测

        emulator = new AndroidARMEmulator("com.du.du");

        Memory memory = emulator.getMemory();

        //作者支持19和23两个sdk

        memory.setLibraryResolver(new AndroidResolver(23));

        memory.setCallInitFunction();

        //创建DalvikVM,利用apk本身,可以为null

        //如果用apk文件加载so的话,会自动处理签名方面的jni,具体可看AbstractJni,利用apk加载的好处,

//        vm = emulator.createDalvikVM(new File("src/test/resources/du/du4160.apk"));

我这里没有用到apk,主要是没有检测其他因素。

        vm = emulator.createDalvikVM(null);

        //加载so,使用armv8-64速度会快很多,这里是so的文件路径,其实也可以利用apk自身的。

        DalvikModule dm = vm.loadLibrary(new File("src/test/resources/du/libJNIEncrypt.so"), false);

        //调用jni

        dm.callJNI_OnLoad(emulator);

        module = dm.getModule();

        //加载so的那个类

        TTEncryptUtils = vm.resolveClass("com/duapp/aesjni/AESEncrypt");

    }

    //关闭模拟器

    private void destroy() throws IOException {

        emulator.close();

        System.out.println("destroy");

    }

    public static void main(String[] args) throws IOException {

        du t = new du();

        t.encodeByte();

        t.destroy();

    }

    private String encodeByte() {

        //调试

        // 这里还支持gdb调试,

        //emulator.attach(DebuggerType.GDB_SERVER);

        //附加调试器

//        emulator.attach(DebuggerType.SIMPLE);

//        emulator.traceCode();

        //这里是打断点,原地址0x00005028->新地址0x40005028 新地址需要改成0x4

//        emulator.attach().addBreakPoint(null, 0x40001188);//encode地址

//        emulator.attach().addBreakPoint(null, 0x40000D10);

        Number ret = TTEncryptUtils.callStaticJniMethod(emulator, "getByteValues()Ljava/lang/String;");

        long hash = ret.intValue() & 0xffffffffL;

        StringObject st1 = vm.getObject(hash);

        //*这里要处理下字符串

        String byteString = st1.getValue();

        StringBuilder builder = new StringBuilder(byteString.length());

        for (int i = 0; i < byteString.length(); i++) {

            if (byteString.charAt(i) == '0') {

                builder.append('1');

            } else {

                builder.append('0');

            }

        }

        //获取encodeByte地址

        ret = TTEncryptUtils.callStaticJniMethod(emulator, "encodeByte(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;",

                //传参,这里需要两个字符串,所以就传入两个参数

                vm.addLocalObject(new StringObject(vm, "要加密的值")),

                vm.addLocalObject(new StringObject(vm, builder.toString())));

        //ret 返回的是地址,

        hash = ret.intValue() & 0xffffffffL;

        //获得其值

        StringObject str = vm.getObject(hash);

        System.out.println(str.getValue());

        return str.getValue();

    }

}

上边代码有jni的类是哪一个需要知道,就是下面这个类,这个其实是和加载so有关系的。

TTEncryptUtils = vm.resolveClass("com/*/aesjni/AESEncrypt");

我们需要逆向app,这里不细说如何在app中寻找加载so的类。如下图,encodeByte是该app调用native层加密的入口,loadLibrary是java加载so的方法,这个类就是上述代码中填写的。



然后再看"encodeByte(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;"这里,这是smali写法,不补基础,后面跟上需要传的参数,

getByteValues 这个方法是毒获取的一个01字符串,并且在java层进行了处理,然后再传进encodeByte里面,encodeByte这个方法最后获取的其实并不是最终需要的,需要md5才是最后的newSign。可以验证一下下。



测试结果通过。

最后

启动java文件时候注意这个改成自己的平台!!!

VM options: -Djava.library.path=prebuilt/os -Djna.library.path=prebuilt/os

Where os may: linux64, win32, win64, osx64



最后这个文件放在https://github.com/zhaoboy9692/dailyanalysis喜欢的可以star,谢谢。

爬虫工程师的unidbg入门教程的更多相关文章

  1. 从零起步 系统入门Python爬虫工程师 ✌✌

    从零起步 系统入门Python爬虫工程师 (一个人学习或许会很枯燥,但是寻找更多志同道合的朋友一起,学习将会变得更加有意义✌✌) 大数据时代,python爬虫工程师人才猛增,本课程专为爬虫工程师打造, ...

  2. 从零起步 系统入门Python爬虫工程师✍✍✍

    从零起步 系统入门Python爬虫工程师 爬虫(又被称为网页蜘蛛,网络机器人)就是模拟客户端发送网络请求,接收请求响应,一种按照一定的规则,自动地抓取互联网信息的程序. 原则上,只要是浏览器(客户端) ...

  3. 转:Scrapy安装、爬虫入门教程、爬虫实例(豆瓣电影爬虫)

    Scrapy在window上的安装教程见下面的链接:Scrapy安装教程 上述安装教程已实践,可行.(本来打算在ubuntu上安装Scrapy的,但是Ubuntu 磁盘空间太少了,还没扩展磁盘空间,所 ...

  4. Scrapy安装、爬虫入门教程、爬虫实例(豆瓣电影爬虫)

    Scrapy在window上的安装教程见下面的链接:Scrapy安装教程 上述安装教程已实践,可行.(本来打算在ubuntu上安装Scrapy的,但是Ubuntu 磁盘空间太少了,还没扩展磁盘空间,所 ...

  5. scrapy爬虫框架入门教程

    scrapy安装请参考:安装指南. 我们将使用开放目录项目(dmoz)作为抓取的例子. 这篇入门教程将引导你完成如下任务: 创建一个新的Scrapy项目 定义提取的Item 写一个Spider用来爬行 ...

  6. Python爬虫入门教程 37-100 云沃客项目外包网数据爬虫 scrapy

    爬前叨叨 2019年开始了,今年计划写一整年的博客呢~,第一篇博客写一下 一个外包网站的爬虫,万一你从这个外包网站弄点外快呢,呵呵哒 数据分析 官方网址为 https://www.clouderwor ...

  7. Python爬虫入门教程 48-100 使用mitmdump抓取手机惠农APP-手机APP爬虫部分

    1. 爬取前的分析 mitmdump是mitmproxy的命令行接口,比Fiddler.Charles等工具方便的地方是它可以对接Python脚本. 有了它我们可以不用手动截获和分析HTTP请求和响应 ...

  8. Python爬虫入门教程 43-100 百思不得姐APP数据-手机APP爬虫部分

    1. Python爬虫入门教程 爬取背景 2019年1月10日深夜,打开了百思不得姐APP,想了一下是否可以爬呢?不自觉的安装到了夜神模拟器里面.这个APP还是比较有名和有意思的. 下面是百思不得姐的 ...

  9. Python爬虫入门教程 36-100 酷安网全站应用爬虫 scrapy

    爬前叨叨 2018年就要结束了,还有4天,就要开始写2019年的教程了,没啥感动的,一年就这么过去了,今天要爬取一个网站叫做酷安,是一个应用商店,大家可以尝试从手机APP爬取,不过爬取APP的博客,我 ...

随机推荐

  1. oralce使用INSERT语句向表中插入数据

    INSERT   INTO    table[ (column [, column. . .])] VALUES            (value [,value . . .]); v  插入的数据 ...

  2. php实现第三方登录

    1. oAuth2.0原理 网站为了方便用户快速的登录系统,都会提供使用知名的第三方平台账号进行快速登录的功能,第三方登录都是基于oAuth2.0标准来实现的.下面详细分析[基于账号密码授权]和[基于 ...

  3. iptables 网址转译 (Network Address Translation,NAT)

    当封包流经NAT電腦時,其位址/通訊端口會被修改,以達到改变包目的地(或旅程),或是让目的地误以为包是源自NAT电脑的效果.換言之,对封包执行NAT的电脑,可以成为新包的来源或目的地,或是成为真正来源 ...

  4. Libev源码分析01:Libev中的监视器结构(C结构体实现继承)

    在Libev的源码中,用到了一种用C实现类似C++中继承的技巧,主要是用宏和结构体实现. 在Libev中,最关键的数据结构就是各种监视器,比如IO监视器,信号监视器等等.这些监视器的多数成员都是一样的 ...

  5. 因为 Java 和 Php 在获取客户端 cookie 方式不同引发的 bug

    遇到个 Java 和 Php 在获取客户端 cookie 方式不同导致跨系统的问题.所以写了这篇博客梳理下相关知识. 实验 下面通过两个简单的实验,来看Java和Php在获取web请求中的cookie ...

  6. PyTorch官方中文文档:torch.optim 优化器参数

    内容预览: step(closure) 进行单次优化 (参数更新). 参数: closure (callable) –...~ 参数: params (iterable) – 待优化参数的iterab ...

  7. iptables典型NAT上网

    一般做为NAT的计算机同时也是局域网的网关,假定该机有两块网卡eth0.eth1,eth0连接外网,IP为202.96.134.134:eth1连接局域网,IP为192.168.62.10 1. 先在 ...

  8. tp5 thinkphp5 多表关联查询 join查询

    model下: $res = \think\Db::name('article') ->alias("a") //取一个别名 ->join('admin ad','a. ...

  9. 在Vue 中调用数据出现属性不存在的问题

    这已经是我在调用数据时趟过几次的坑了,索性记录下来防止后面再犯: 一般我们请求数据来渲染一个页面的时候,请求下来的数据基本上都是数组或是对象,再通过列表循环和插值表达式渲染的页面:在data 中提前声 ...

  10. uni-app 常用框架内置方法 更新中 .....

    获取 登录信息,getStorage 初始化页面数据   请求  下拉刷新页面 加载更多  点击跳转  个人中心  uni.request(OBJECT)   success=成功    fail=失 ...