0x00 脱壳
jadx直接分析apk,发现是360的老壳。
脱壳工具推荐(drizzledump)[https://github.com/DrizzleRisk/drizzleDumper],(教程)[http://www.freebuf.com/sectool/105147.html]
脱壳后获得dex
看到这里其实都是老套路了,解密的逻辑都写在native层,不会写在java层
所以脱不脱壳不其实重要,直接分析so就好了(逃)。不过脱壳的话就有个好处,壳会在启动时如果检测到IDA的Android Service 是已经启动的话会直接结束进程,去掉壳可以方便调试。当然,也可以不脱壳,先启动完应用再用IDA附加也可以绕过检测。
0x01 libcheckserial 分析
IDA打开libcheckserial.so,主要注意导出表中的前五个函数。crazy在hehe2和hehe4中存在引用
先分析Java_top_phrack_ctf_crazyandroid_MainActivity_CheckSerial
看到一堆花里胡哨的东西不要方,先f5冷静分析一波
CheckSerial的跳转流程虽然十分的混乱,但是其实也就调用了4个hehe函数。为确定运行流程,可以在四个hehe函数调用各下一个断点后
随意输入一个注册码,IDA动态调试,会发现hehe1返回0后函数就结束运行,并不会调用后面三个函数,手动修改R0的值(返回值)为1,才会触发后续函数的调用,连续修改4个返回值后会便可以注册成功。
所以只需确保四个hehe函数的返回值为1便可注册成功。
0x02 hehe1
hehe1主要校验输入的长度是否为40。并对输入字符串进行转换(一下讨论均针对已转换后的字符串,暂且称为enstr),输入输出对照如下
input = 'abcdefghijklmnopqrstuvwxyzABCD