Android逆向学习笔记---逆向腾讯2016游戏安全挑战赛Tencent2016A.apk

最新推荐文章于 2024-04-02 09:20:51 发布
最新推荐文章于 2024-04-02 09:20:51 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 逆向学习笔记 移动安全 文章标签: android 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JasaLee/article/details/65720522
版权

首先,用jeb将apk逆向,发现程序是通过NativeCheckRegister(String arg1)函数来判断输入
JEB逆向
进一步看这个函数:
native定义:

调用本地native 函数,而这类函数一般存在apk的lib目录里面的.so文件当中。
使用IDA6.6 导出so文件找到NativeCheckRegister(String arg1)函数

这里写图片描述
看方框里面的sub_1634()函数
这里写图片描述
这个程序的功能是根据传入的Name字符串,然后生成一个Code,与输入的code 对比。
这里写图片描述
首先 ,分析上面一段算法。转换成Java代码:

for (; i < 16; i++, j = i % name.length) {
     nameCrypt[i] = ((name[j] * (20160126 + i) * name.length) + tmp) & 0x0ff;
     tmp = (((name[j] * (20160126 + i) * name.length) + tmp) >> 8) & 0x0ffffffff;
}
这里主要功能是把输入的name进行一个加密转换;

这里有几点值得注意的v11 是char类型,占用1个字节,所以后面要和 0x0ff相与 保留后两个字节,v6强制类型转换成dword类型,占用8个字节,因此结果和0x0ffffffff相与。
再看这个:
这里写图片描述

for (i = 0; i < 5; i++) {
            nameCrypt2[i] = nameCrypt[i * 4 + 3];
            nameCrypt2[i] = nameCrypt2[i] << 8 | nameCrypt[i * 4 + 2];
            nameCrypt2[i] = nameCrypt2[i] << 8 | nameCrypt[i * 4 + 1];
            nameCrypt2[i] = nameCrypt2[i] << 8 | nameCrypt[i * 4];
            nameCrypt2[i] = nameCrypt2[i] / 10;
}
进一步对转换过的nameCrypt转换(有点绕)

同道理也是字节位运算,V10是int类型,V15转换成dword类型,所以先算出来的字节往左移8位作高位字节,后八位作低位。

然后这边是sub_1498()函数,这个函数主要将输入的Code字符串Code进行验证:

这里写图片描述
这里写图片描述
根据上面的伪代码,用java代码表示:

public String getCode() {
        StringBuilder str = new StringBuilder();

        codeCrypt[3] = nameCrypt2[2] + nameCrypt2[3];
        codeCrypt[0] = codeCrypt[3] + nameCrypt2[2];

        codeCrypt[1] = 3 * nameCrypt2[2] - nameCrypt2[4];

        codeCrypt[4] = nameCrypt2[0] + nameCrypt2[1];
        codeCrypt[2] = codeCrypt[4] + nameCrypt2[0];


        for (int i = 0; i < 5; i++) {
            codeCrypt2[i * 4    ] = (byte) (codeCrypt[i] & 0x0ff);
            codeCrypt2[i * 4 + 1] = (byte) ((codeCrypt[i] >> 8) & 0x0ff);
            codeCrypt2[i * 4 + 2] = (byte) ((codeCrypt[i] >> 16) & 0x0ff);
            codeCrypt2[i * 4 + 3] = (byte) ((codeCrypt[i] >> 24) & 0x0ff);
        }

        for (int i = 0; i <= 6; i++) {
            byte tmp = 0;

            if (i == 6) {
                tmp = (byte) ((codeCrypt2[i * 3] & 0x0ff) >> 2);
                str.append((char) lookupTableRev(tmp));
                tmp = (byte) (((codeCrypt2[i * 3] & 0x03) << 4) | ((codeCrypt2[i * 3 + 1] >> 4)) & 0x0f);
                str.append((char) lookupTableRev(tmp));
                tmp = (byte) (((codeCrypt2[i * 3 + 1] & 0xf) << 2) | ((codeCrypt2[i * 3 + 2] & 0x0ff) >> 6));
                str.append((char) lookupTableRev(tmp));
            } else {
                tmp = (byte) ((codeCrypt2[i * 3] & 0x0ff) >> 2);
                str.append((char) lookupTableRev(tmp));
                tmp = (byte) (((codeCrypt2[i * 3] & 0x03) << 4) | ((codeCrypt2[i * 3 + 1] >> 4)) & 0x0f);
                str.append((char) lookupTableRev(tmp));
                tmp = (byte) (((codeCrypt2[i * 3 + 1] & 0xf) << 2) | ((codeCrypt2[i * 3 + 2] & 0x0ff) >> 6));
                str.append((char) lookupTableRev(tmp));
                tmp = (byte) (codeCrypt2[i * 3 + 2] & 0x3f);
                str.append((char) lookupTableRev(tmp));
            }
        }
        return str.toString();
    }

这里写图片描述

上面的a456789[] 在汇编下是这么一个字符串,

这里写图片描述
转换成java代码:

private int lookupTableRev(byte content) {
        for (int i = 0; i < 256; i++) {
            if (table[i] == content) {
                return i;
            } else {
                continue;
            }
        }
        return -1;
    }
查表,使经过转换的code根据其在表中的位置得到0xff内的可见字符。

结果有:
这里写图片描述

总结一下代码的验证流程:

用户输入的name和code;
首先对输入的name进行一系列加密处理,然后根据加密后的nameCrypt,生成codeCrypt加密后的code,最后根据表得到相应字符串值,然后输出比较。

JasaLee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【移动安全基础篇】——17、ARM汇编代码
Fly_鹏程万里
01-12 559
1. so  动态库 在 apk 的 lib 目录下,存放的是 so 文件,一般有以下几个目录 Armeabi:arm 编码的文件 Armeabi:arm 新版编码文件 x86:Intel x86 汇编文件 …其他的文件:对应其他版本的汇编文件 这些都是 Android 的 Elf 格式文件 2. IDA  动态调试 启动式调试: 1)  push IDA 目录下的 android_server...
Tencent2016A安卓静态逆向分析
weixin_43660296的博客
11-11 2679
Tencent2016A安卓静态逆向分析介绍test新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 介绍 本文...
android游戏编程之从零开始_Android算法逆向学习笔记之2016腾讯游戏安全移动赛题Tencent2016A(含注册机)...
weixin_39781363的博客
11-24 105
听说这个题是2016年腾讯游戏移动安全赛的题主要是注册机的编写以前自己学习拿来练习ARM汇编和算法逆向的自己写的ARM的汇编的就不贴了 这里主要是F5后的一、java层定位关键点夜神模拟器安装apk,输入name和code:打开androidkiller搜索字符串Check Fail!找到关键点,发现了一个NativeCheckRegister找到NativeCheckRegister的声明的地方...
游戏逆向_Android读写游戏内容
douluo998的博客
04-12 1769
又比如Unity游戏,如图1所示,其C#脚本编译后的DLL会存放在assets/bin/Data/Managed/Assembly-CSharp.dll里,可直接利用ILSpy等工具反编译的游戏脚本代码(关于Unity的辅助或破解版就有通过直接修改此文件内容实现功能)。注入式的读写,目的性较强,既是事先已经通过静态或者动态调试确定了在特定位置可以获取到内容地址,然后需要在游戏动态运行过程中读写相应地址内容(涉及到内存的读写操作,比如memset、memcpy、mmap、strcpy等函数)。
腾讯2016安全比赛第一题
07-21
安全比赛第一题的题目apk.要求写出注册机.考点位于反编译后的so库.
tzdata-2016a-2.el6.noarch.rpm
12-06
tzdata-2016a-2.el6.noarch.rpm
ASTM E8-2016a 金属材料试验拉伸方法 (汉语版)
04-10
ASTM E8-2016a 金属材料试验拉伸方法(汉语版) 本标准ASTM E8-2016a是美国材料试验协会(ASTM)发布的金属材料拉伸试验方法标准,旨在规定室温下各种形状的金属材料的拉伸试验方法,包括屈服强度、屈服点伸长率、...
R2016a_patch_1465823_2016-09-21(Mac上Matlab2016a中文乱码的官方补丁)
03-24
标题中的“R2016a_patch_1465823_2016-09-21”指的是Matlab R2016a版本的一个特定补丁,编号为1465823,发布日期为2016年9月21日。这个补丁是针对Mac操作系统上的用户,主要解决在使用Matlab R2016a时遇到的中文乱码...
Matlab-2016a-安装教程.pdf
06-27
window7下,MATLAB 2016a版本的安装教程。有需要的下载。
2016安全网站android安全文章总结第一期
12-23
一、android安全保护办法总结 二、破解脱壳知识 三、xposed源码学习 四、androidManifest.xml保护修AndroidManifest.xml导致不能反编译
什么是Android逆向?如何学习安卓逆向Android逆向自学笔记入门到实战
datian1234的博客
08-16 9078
前言 “安卓逆向”不是一个新名词,它伴随着安卓开发而生,但是一直以来,仅限于技术圈内流行,对于非技术圈人士,往往把“APP破解”和“安卓逆向”划等号。这是写给非技术圈人士看的,在于普及安卓逆向的概念及其应用场景。 安卓逆向是什么? 目前百度知道都没有收录安卓逆向这个词条,大部分能搜索到的资料都是技术人员写的偏技术类的文章,往往充斥着代码和各类工具集合,非技术人员一看就比较懵逼。 简单地来说,安卓逆向是对已经打包好的APP进行反编译、源码分析了解APP实现逻辑的一门技术。我们可以把安卓安装时用到的APK文件
游戏基础】安卓手游逆向必须基础
最新发布
douluo998的博客
04-02 1251
学习的前提是你已经掌握了一定的0x86汇编基础,掌握了一定的端游逆向基础,在0x86汇编基础和端游逆向基础上对比学习即可,如果没有一定的端游逆向基础,可以回去看看我之前的端游逆向基础。Thumb模式下等于当前指令地址加4,因为流水线优化,有3个过程,取指,译指,执行,PC指向取指的代 码,PC-4指向译指的代码,PC-8指向译指的代码。Thumb 指令可以看作是 ARM 指令压缩形式的子集,是针对代码密度的问题而提出的,它具有 16 位的代码密度但是它不如ARM指令的效率高。
2016腾讯安全挑战赛第一轮-PC游戏方向
123
09-23 426
0x00 查壳 无壳的VC程序 0x01 测试 没有消息弹窗,尝试对函数下断点。 OD载入后,Ctrl+N查找函数,找到GetDlgItem 程序运行起来,等输入完后点击确定后程序断下。一路F8就来到这里 00401EED . E8 6A5B0000 call Tencent2.00407A5C 00401EF2 . 8B40 20 ...
android逆向学习路线(适合新手)
it5101的博客
09-23 5432
本人刚入行没有多久,说的不对的,请大家指正,谢谢~~ (文末附送学习资料) Android逆向学习路线: 1、Java语言基础 2、Android基础 既然是Android逆向,首先你肯定要有android方面的基础吧?所以上面两个是必须要会的! Java学到我给的链接里面的网络与多线程就差不多了 Android就学到消息提示与菜单那里就差不多了,当然你也可以直接转做Android应用开发,如果这样的话,下面的文字就可以不看了; 3、汇编语言...
Android逆向工具合集,QQ聊天式^_^
wind_watcher的专栏
03-08 725
Android逆向工具常用到的就那么几种,这里我跳出几个经常使用的,并整理成一个工具集。用到的工具如下: 1、apktool 2、dex2jar 3、jd-gui 4、签名工具拥有以上几个工具,你就可以开始逆向分析了。现在展示一下工具使用方法1、 打开 xiaodoubi.exe,展开我的好友,一共有两个好友,Android逆向大师就是Android逆向工具合集,小逗逼是智能机器人,可以和T
我的Android逆向之路(一)
qq_20912765的博客
07-31 496
0x00 前言   我开始对Android进行学习最早可以追溯到大二下。那个时候啥都不会,啥都想学,于是我就去选了一个Android开发的课。那节课在周三晚上,从七点半上到十点。200多人的大教室,第一次上课只去了不到20人,我有幸成为那20人之一。听完第一节课我就没去过了,第二天本来想着退课的,结果给忘了,错过了退课时间,于是那门课最后得了0分。由于这个瓜葛,我对Android一开始就没什
android 中通过包名去启动其他的acticity
liu_hang_LH的博客
12-07 311
private void doStartApplicationWithPackageName(String packagename) { // 通过包名获取此APP详细信息,包括Activities、services、versioncode、name等等 PackageInfo packageinfo = null; try { packageinfo =
动态规划 - 腾讯2016实习生笔试
weixin_34233421的博客
04-10 192
mean 给定一个字符串s,你可以从中删除一些字符,使得剩下的串是一个回文串。如何删除才能使得回文串最长呢?输出需要删除的字符个数。 analyse 对于这题来说,插入字符和删除字符使其成为回文串,答案是一样的. 首先求s的反串rs,然后对s和rs求最长公共子序列,要删除的字符个数就是LCS. time complexity O(N^2)  code #include &lt;...
[资格赛题] 2018腾讯游戏安全竞赛第一轮PC标准版分析
iqiqiya的博客
04-29 1407
本文转载于https://www.52pojie.cn/thread-731939-1-1.html大三狗,水平有限,感觉要止步第二轮了。第一题逆向没什么难度,主要是考察对算法的还原,最重要的是耐心题目: 输入正确的UserName和RegCode,显示注册成功。用OD通过对GetDlgItem下断,找到按钮相应事件004026F0处用IDA分析一.分析4026F0函数  发现只要sub_4055...
r2016a_patch_1465823_2016-09-21 下载
09-08
r2016a_patch_1465823_2016-09-21 是一种软件补丁,用于修复MathWorks公司发布的Matlab软件中已知的错误或漏洞。该补丁的版本号为1465823,发布日期为2016年9月21日。 下载该补丁的目的是为了解决Matlab软件中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值