Shopee算法分析 - Unidbg模拟执行

已于 2024-12-17 10:32:14 修改
阅读量1.5k 收藏 27
点赞数 13
文章标签: 算法 安卓破解 unidbg frida 安卓逆向 ida
于 2024-12-15 12:46:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiled/article/details/144485639
版权

博客地址: http://blog.androidcrack.com/index.php/archives/37/
感谢杨如画大佬分析的文章, 这个文章是复现大佬的文章. 动手了才是自己的.

抓包

  • Pixel3
  • Reqable

咱们的任务需求主要是搞定这几个算法.

image-20241213144552163

定位加密位置

1. 搜索法

我们将应用拖入JADX中,搜索关键词 x-sap-ri,发现无果. 所以搜索关键词的方法在此处显得较为无力. 在此案例中, 不适合使用. 但是并不意味着,搜索法不好. 这个要看实际的使用常见

2. 开发者思维

我们反编译虾皮的APK, 可以看到有okhttp3的主包, 那么我们就要思考. 我们应该如何给一个请求设置请求头?

https://square.github.io/okhttp/

使用addHeader, addHeader里面应该是用HashMap, 这里我没有去跟踪okhttp, 感兴趣的读者可以自己去跟踪一下.

最终可以写一个frida hook脚本.

💡对HashMap.put方法进行了拦截, 判断key是否为我们的目标, 如果为目标,则打印调用栈. 根据调用栈定位加密位置

Java.perform(function (){
   
    //     HashMap.put
    var hashMap = Java.use("java.util.HashMap");
    hashMap.put.implementation = function (a, b) {
   
        if(a!=null && a.equals("x-sap-ri")){
   
            console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()))
            console.log("hashMap.put: ", a, b);
        }
        return this.put(a, b);
    }
})

保证应用在前台, 我们开始Hook应用

frida -UF -l .\hook_shopee.js

堆栈非常的长, 我们看到又关键的方法com.shopee.shpssdk.SHPSSDK.uvwvvwvvw

java.lang.Throwable
        at java.util.HashMap.put(Native Method)
        at org.json.JSONObject.put(JSONObject.java:276)
        at org.json.JSONTokener.readObject(JSONTokener.java:394)
        at org.json.JSONTokener.nextValue(JSONTokener.java:104)
        at org.json.JSONObject.<init>(JSONObject.java:168)
        at org.json.JSONObject.<init>(JSONObject.java:185)
        at com.shopee.shpssdk.SHPSSDK.uvwvvwvvw(Unknown Source:58)
        at com.shopee.shpssdk.SHPSSDK.requestDefense(Unknown Source:95)
        at com.shopee.app.network.antifraud.b.intercept(SourceFile:47)
        at okhttp3.internal.http.RealInterceptorChain.proceed(SourceFile:19)
		....(省略)
hashMap.put:  x-sap-ri d3db5b67e52fdbdec805c31d01850c676f03f49ab5458cc0533f

在jadx中, 我们找到对应的位置, 怪不得我们在前文中,用搜索法无法定位到函数位置. 原来是因为该应用的字符串加密导致的.

💡以后在逆向工作中, 大家可以思考下, 如果我是开发者,我会怎么做? 有时候可能会带来意想不到的效果!

那么生成我们需要的x-sap-ri参数的函数就是vuwuuwvw方法

public Map<String, String> requestDefense(String str, byte[] bArr) {
   
    if (!ShPerfC.checkNotNull(perfEntry) || !ShPerfC.on(new Object[]{
   str, bArr}, this, perfEntry, false, 35729, new Class[]{
   String.class, byte[].class}, Map.class)) {
   
        Hashtable hashtable = new Hashtable();
        if (str == null) {
   
            return hashtable;
        }
        try {
   
            try {
   
                return uvwvvwvvw(wvvvuwwu.vuwuuwvw(str.getBytes(), bArr)); // vuwuuwvw方法生成结果
            } catch (Throwable unused) {
   
                hashtable.put(vvuwvuuuu.wwvvvwvwu("0F580414075A131E0F1A10", "wuwuwwuww"), vvuwvuuuu.wwvvvwvwu("130E3F013E1F1A123E1B261C3A34341C2F243F413C3232063C363D023E1F19103C1C3F4E", "vwuvwuuuw"));
                return hashtable;
            }
        } catch (Throwable unused2) {
   
        }
    } else {
   
        return (Map) ShPerfC.perf(new Object[]{
   str, bArr}, this, perfEntry, false, 35729, new Class[]{
   String.class, byte[].class}, Map.class);
    }
}

wwvvvwvwu 方法是一个native方法. 需要去so中分析了.

public static native String vuwuuwvw(byte[] bArr, byte[] bArr2);

但是目前, 我们已经成功的通过开发者思维定位到函数加密的位置.

frida主动调用与unidbg模拟

1. 确定目标SO

在同个文件下搜索loadLibrary发现, 不是太容易, 因为导入的SO字符串也被处理了. 所以,我们可以hook libart

public static /* synthetic */ void access$000(String str) {
   
    IAFz3z iAFz3z = perfEntry;
    if (iAFz3z == null || !((Boolean) ShPerfB.perf(new Object[]{
   str}, null, iAFz3z, true, 39835, new Class[]{
   String.class}, Void.TYPE)[0]).booleanValue()) {
   
        System.loadLibrary(str);
    }
}

hook registernative脚本

function hook_hashmap() {
   
    Java.perform(function () {
   
        //     HashMap.put
        var hashMap = Java.use("java.util.HashMap");
        hashMap.put.implementation = function (a, b) {
   
            if (a != null && a.equals("x-sap-ri")) {
   
                console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()))
                console.log("hashMap.put: ", a, b);
            }
            return this.put(a, b);
        }
    })
}

function find_RegisterNatives(params) {
   
    let symbols = Module.enumerateSymbolsSync("libart.so");
    let addrRegister
最低0.47元/天 解锁文章
Qiled
关注
unidbg读写跟踪还原X-Gorgon
a545958498的博客
03-31 765
后20字节 0x06292b2e51bf21d8e270474e655a4379e5d3f7f6,指令地址 0x804e8。都是同一个地址,应该是在做加密运算。参数签名函数调用序列 0x88ee0 -> 0x87e48 -> 0x86d60 -> 0x6B14c。第5和6字节 0x0000,指令地址0x13742c,初始化buffer为0后没有再写入。进一步跟踪,查看地址 0xbfffda60 + 0x12 ,在哪里被写入 0x3d。第1个字节 0x84,指令地址 0x81138,直接写入无需计算。
andiord逆向unidbg简单使用
云霄IT的博客
03-12 704
【代码】andiord逆向unidbg简单使用。
安卓逆向unidbg------入参+补环境大全
云霄IT的博客
02-24 2942
【代码】安卓逆向unidbg------补环境大全。
Shopee算法分析 - x-sap-ri
Qiled的博客
12-15 2691
shopee的环境补起来相对容易, 唯一的难点在于 “异常的处理”, 当然, 这只是对于我来说的难点. 对于各位大佬来说, 这种应该是信手拈来的东西.接下来, 继续复现如画大佬的算法分析文章.
为什么Unidbg模拟执行的结果和主动调用的结果不同(一)
lilac的博客
06-29 5670
一、前言 前言打个广告,Unidbg有很多实操问题,文章说起来不直观而且费劲,最典型的就是怎么补JNI环境,很多朋友都补的又慢又折腾,欢迎大家私信了解七月的Unidbg课程,课程我主讲,而且由我的老板,逆向大牛R0ysue指导设计,大可放心。 除此之外,建了一个Unidbg学习交流群,纯粹的技术交流,欢迎各位大佬来玩,私聊我拉进群。 接下来进入正题,看文章标题大家也能猜到,这一篇的内容是一个新系列的开始,这并不意味着《逆向十三篇》结束了,而是Unidbg模拟执行的结果和主动调用的结果不同这个问题太过重要了,
unidbg工具使用
YJJYXM的博客
04-28 2684
一、下载IntelliJ IDEA 在此处不过多赘述了,去官方网站下载IDEA就可以了。当然此处有社区版和专业版,那么这里就看个人需求了。安装教程网上还是很多的,在此处也不多说了。 二、IDEA相关配置 在使用之前需要配置好Maven以及修改默认Repository,接下来就说一下此方面。 1.配置Maven环境 (1) .下载apache-maven文件,选择自己需要的版本,这里下载3.6的就可以,地址:http://maven.apache.org/ (2) 解压1所下载文件,本人解压到:D:\apac
Unidbg使用指南(一)
fenfei331的博客
11-27 6938
一、目标 除了AndroidNativeEmu我们还有一个选择 Unidbg 来实现模拟执行so, GitHub链接 https://github.com/zhkl0228/unidbg 特色 模拟JNI调用API,以便可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 模拟syscalls调用。 支持ARM32和ARM64。 基于HookZz实现的inline hook。 基于xHook实现的import hook。 支持 iOS fishhook 、 substrate 、 whale
模拟执行apk的so文件方法(unidbg的配置与使用)
一个啥也不会的小菜鸡!
05-21 1176
随便选个项目就可以开始运行了,但是会发生很多报错,需要继续配置IDEA环境!配置完成之后就可以实验IDEA打开这个github项目的解压出来的文件了!还有一个原因是因为没有配置源码目录、测试目录、资源目录,所以会报错!选择文件自带的项目,并且点击运行就可以试试环境是否配置完成!软件:IntelliJ IDEA 2023.3.4。直接手动下载github的zip文件来解压!下载好后直接添加环境变量并进行验证!最后点击运行就会发现成功了!
Unidbg模拟执行某段子so实操教程(二) LoadSo对比
二狗的博客
01-16 850
假到真时真亦假,安全对抗的时候就是比拼耐心,互相给对方挖坑埋雷。挖的坑要深点,雷要迷惑性强点。偶尔可以给对方一个甜头,让他以为搞定收工。实际后面还有千转百绕。最后谁坚持不住放弃了,谁就输了。那些花半秒钟就看透事物本质的人,和花一辈子都看不清事物本质的人,注定是截然不同的命运。
Shopee算法分析 - 算法分析二(与URL有关的Key)
Qiled的博客
12-17 641
💡分析trace, 我们应该以结果为导向. 只关注于我们需要的数据. 一些其他无用的运算我们应该选择性跳过. 一行行分析下去十分的疲惫.Unidbg运行一遍,搜索运行下这个Key, 我们在下面的堆栈中, 可以看到memcpy的调用地址为。在Unidbg文章中, 我们尝试过多次主动调用, 文中可以发现, 只有。因为可以猜测到循环, 并且, 我们目前需要知道,这个未知的字节是什么?我们只需要,这个框框选择出来的长的指令. 所以我们匹配到的结果。, w1 比较简单, 我们先分析复杂的.可以知道我们的结果是由。
Leetcode周賽量體兩題-Shopee-Challenge-2020:Shopee-Challenge-2020
07-01
Leetcode周赛量体两题【SHOPEE CHALLENGE 2020】 - User Spending Prediction 第五名做法分享 本次比赛主办方给了两个月的准备期,但是实际比赛时长只给两个小时(当场出题目) ,非常考验Coder的基本功: Data ...
Shopee-Code-League-2021
03-06
尽管提供的标签为空,我们可以从“Shopee-Code-League-2021-main”这个压缩包文件名推测,其中可能包含了比赛的主要代码库或者资源。 参赛者们可能需要掌握以下关键知识点: 1. **Web开发**:Shopee作为一个电商...
Unidbg模拟执行某段子so实操教程(一) 先把框架搭起来
阿道夫的博客
01-16 754
通过之前的分析我们知道,sign的入参有两个,第一个参数是个字符串,实际是个url,第二个参数也是这个so里面的加密结果,一个buf。从之前的分析我们知道,在执行 sign函数之前,需要执行 native_init。但是我们是写教程了,得搞明白。我也不知道,后面我再教大家找这个值的方法,这里先写死一个值吧。以结果轮英雄,我们可以多跑几组,如果确定模拟执行出来的结果都是 加上了固定的。再跑一下,Ok,native_init 算是跑过了。我们之前的文章实现过,这里就依葫芦画瓢。是干啥用的,不管了,先实现再说。
Unidbg使用指南
小李的便利店
08-12 2191
Unidbg使用指南
Unidbg:全面解析与实战操作手册
m0_57836225的博客
12-24 2488
Unidbg 是一个基于 Java 的跨平台逆向工具框架,专注于对原生库(如.so 文件和.dll 文件)的模拟分析。它支持多种 CPU 架构,包括 ARM、ARM64、x86 和 x86 - 64 等,这使得它能够广泛应用于 Android 和 iOS 应用的逆向工程中。通过模拟 CPU 环境、内存管理以及系统函数调用等关键组件,Unidbg 能够在 Java 虚拟机(JVM)上精准地执行原生代码,为深入探究应用的内部逻辑和安全机制提供了可能。
认识Unidbg
Bileton的博客
09-21 2003
for32Bit() //指定模拟器目标平台.setProcessName("com.qidian.dldl.official") //设置进程名.addBackendFactory(new Unicorn2Factory(true)) //模拟器的底层执行引擎.build();// 创建模拟器实例// 获取模拟器的内存操作接口// 设置系统库解析器// 创建一个 Dalvik 虚拟机实例。// 设置虚拟机的日志输出模式。
大杀器Unidbg真正的威力
最新发布
2403_87755661的博客
03-17 880
同理,此框架也支持导出函数HOOK以及InlineHOOK 有了这个方法,在你分析一些函数的时候,可以充当Log的效果 或者强行改变一些函数的返回值让你更容易的分析,比如本例中笔者改变了Lrand48的返回值,让函数每次都强行返回0x12345678,这样在逆向分析的时候能让一些不确定性变成可控性.上面那张图片呢,用的就是小弟魔改的UnidbgTraceCode出来的文件,通过Trace方法可以快速定位某个函数在指令级别的作用,帮助逆向人员更快的分析出想要的算法.该函数的第一个参数毋庸置疑是当前的模拟器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值