Unidbg调用so学习

最新推荐文章于 2024-05-21 15:27:17 发布
最新推荐文章于 2024-05-21 15:27:17 发布
阅读量3k 收藏 9
点赞数 1
文章标签: 开发语言 算法 java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kinglshadow/article/details/132780063
版权

当我们使用抖音时,每一个操作都会通过HTTP请求与服务器进行交互,从而获取或者发送数据。这些HTTP请求包含了很多信息,这些信息就保存在请求头中。在这篇文章中,我们将一探请求头中的加密参数。

注意:本文的目的仅为了进行技术研究和分享,不提倡或支持任何形式的非法行为。

1. 什么是"六神"参数?

"六神"参数是抖音请求头中的六个核心参数,它们是:X-LadonX-KhronosX-ArgusX-GorgonX-HeliosX-Medusa。这些参数对于识别用户设备以及获取用户相关的数据非常重要。

测试过程中发现一些特定的接口会对这6个参数进行验证,如何构造这些加密参数呢?

2. 如何生成这些参数?

这些参数的生成通常依赖于设备的一些硬件信息如IMEI、MAC地址等,以及软件信息如应用的安装时间、更新时间等。具体的生成算法可能会依赖于抖音的内部逻辑,可能涉及到一些复杂的哈希函数和加密算法。

分析了下,后发现关键算法在libmetasec_ml.so中,还原算法有一定难度,在这里,可以采用主动调用加密参数生成函数的办法,省时省力省心。

主动调用so中加密函数生成有好几种办法,frida-rpc、lsposed、自写代码加载so进行调用等等。

这里推荐使用unidbg框架,模拟Java虚拟机加载生成算法的so,并调用相关位置生成加密参数。

3. unidbg主动调用so中函数

 创建模拟器实例,模拟32位或者64位

emulator = AndroidEmulatorBuilder.for64Bit().setProcessName("com.ss.android.ugc.aweme").build();

系统类库解析

final Memory memory = emulator.getMemory(); 
memory.setLibraryResolver(new AndroidResolver(29));

创建虚拟机

vm = emulator.createDalvikVM();

加载加载libttEncrypt.so到unicorn虚拟内存

DalvikModule dm = vm.loadLibrary(TempFileUtils.getTempFile("libmetasec_ml-23.9.0.so"), true);

手动执行JNI_OnLoad函c数

dm.callJNI_OnLoad(emulator);

初始化差不多就这样,接下来就是补环境,加载so后运行会提示找不到的方法签名,自行加上就行了。

 public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        //省略
        return super.callStaticObjectMethodV(vm, dvmClass, signature, vaList);
    }

 public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        //省略
        return super.callObjectMethodV(vm, dvmObject, signature, vaList);
    }

传入url和请求头,得到结果:

{"X-Ladon":"J6k8auF3LGw8gWhB6j2IAxFAS0GhPIFZ5GppELphx7nmIra6","X-Khronos":"1694251445","X-Argus":"qfXImGca75htu1c89fDAl+qZ/JLW2EhxGLvZnYDV+qlNPxmdc5lOwrQ2LC69uJUy/mb5evybJt6dCUn0u2kqg2EZ4kw8pLBUC9TIu4uEflkmeT6ULrMGZ7FItqRgNrSLPkO89Sc8kPYG6UR+pVeLRYKlI2ZwqTKKWT9Dbrfj3jI+vJh/YABDswJdVqk2NrCF0r8Xnr9SE6uK0sM2VCIF3DwDJDDjw7IyM9Ou5WCSe7fhQQ==","X-Gorgon":"840420f80000a85d3aaceedfbc768d3377c115c79fd782790d56","X-Helios":"YihYG23nqP0LdwRe42czwue5hX4CYAfxfUKXWcLDBAVMrqKe","X-Medusa":"tzn8ZINVaQiAS6b/Ue3hAX2BhUInFCE50FFmX4nhBm2n1IGgK3RW1L85wUZhQkuEwUJVxr5C4sUcrjJzD6o4WuaxpSAVCmUTiq/y+AkTXaTAQIfjqsrLBEs47NzzFaC0W7+0/VrAX5/3yAPIT90vmsJzO/BLENnOznJXA+U7LKy2I5WOEEn8OKGdQQnj00brMcpKPB2baPTjC0GVLSP1YegmHQlNx5fFzd+dfstzsO/Y6KJ6LrmjJ13FqAFwr2QAGWJ4NrlMMAmGUr/XNiwLx4t2JUbRt2Q6IRV400XEtjzGm15TrM13xPJoY+OnuozE5rTns1+fe+wxlETM5vnP23fxIM5dRQ=="}

注意:尽管我们可以理解这些参数的作用和生成方式,但是我们不应该尝试去伪造这些参数。这样做可能会违反抖音的使用协议,甚至可能触犯法律。

kinglshadow
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
10.4版本libcms.so文件
08-14
10.4版本libcms.so文件,so文件是unix(一个系统的名字)的动态连接库,是二进制文件,作用相当于windows下的.dll文件
某音27.8版本Hook,X-Medusa,X-Helios,X-Argus,X-Ladon,X-Gorgon,X-Khronos
byalipus的博客
11-26 2399
python使用frida rpc调用即可,fastapi暴露接口,调用例子。Hook这三个函数即可返回得到值,以下是Hook的Js代码。
2024-淘特x-sign, x-mini-wua参数脱机, unidbg生成加密参数
最新发布
weixin_44110940的博客
05-21 428
支持远程测试, 有需要的可以私信我, 简单调用, 有易语言的测试版本。说明: 此代码仅供用于学习交流, 切勿用于非法用途。
unidbg调用so文件生成xgorgon
热门推荐
李玺
08-14 1万+
unidbgunidbg特点unidbg环境配置加载libcms.somore articles 目前很多 App 的加密签名算法都在so文件中,强行逆向so的话可能会消耗大量时间和资源。 之前用 xposed 采用 hook 的方法从程序计算签名,但是需要模拟器或者真机运行这个应用,使用效率不高。 也用过 jtype 启动JVM,然后通过 native 对so文件进行调用,因为每次都需要启动JVM,所以效率也不高。 unidbg 他不需要运行 app,也无需逆向 so 文件,通过在 app 中找到对应的.
iOS16.4真机调试包
04-07
iOS15.5 真机调试包, 路径: /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport 使用方法: 1、下载资源,放入上述路径中; 2、重启Xcode即可使用。
Unidbg模拟执行某段子so实操教程(二) LoadSo对比
AzulSystems的博客
01-19 147
假到真时真亦假,安全对抗的时候就是比拼耐心,互相给对方挖坑埋雷。挖的坑要深点,雷要迷惑性强点。偶尔可以给对方一个甜头,让他以为搞定收工。实际后面还有千转百绕。最后谁坚持不住放弃了,谁就输了。那些花半秒钟就看透事物本质的人,和花一辈子都看不清事物本质的人,注定是截然不同的命运。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们。
unidbg.zip
10-06
模拟JNI调用API,支持JavaVM,支持ARM32和ARM64位ELF,支持简单调试器,gdb存根,指令跟踪,内存读写跟踪。
抖音六神最新算法
jmm18363027827的博客
08-26 5837
process = frida.get_usb_device().attach('抖音')# HOOK指定类的所有重载方法。# 指定要附加的设备app。搜索:x-tt-dt。
某音6神看法(移动安全篇)
Codeooo 博客
01-08 8391
由于dy的libmetasec_ml.so满足了内层函数,且无上下文关联,又没签名效验;所以目前造成了一些计算出来的值被标记了,跟真机不一样而且xa的长度也是对不上;例如 rdata为全局并非一直写死的状态;没设备id 没ktoken 没launsk 而且emu 也会被检测;此案例最为经典,可单独直接运行so,无签名方案可不放置apk调用;真机的情况,真机启动的时候会初始化每次;
douyin ios六神
China Honker 博客
11-06 3545
ios版本的六神算法,以及ios越狱过检测抓包logs插件。抖音 ios六神算法
花指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出花指令 将他清除
编译so文件 Unity调用so文件样例
04-21
总结,制作和在Unity中调用SO文件的关键在于理解JNI接口的设计,正确配置C/C++编译环境,以及在Unity中适当地引入和调用SO文件。这个过程涉及到Android NDK开发、JNI编程以及Unity的插件集成,需要对这几个方面都有...
Android逆向调用so(一)
10-03
Android逆向调用so
python中使用ctypes调用so传参设置遇到的问题及解决方法
09-19
Python编程中,有时我们需要调用C语言编写的动态链接库(.so文件),这时可以使用内置的`ctypes`库。`ctypes`提供了一种方便的方式将Python与C库进行交互,允许我们调用C函数并传递参数。然而,在实际操作中,可能...
京东加密参数Unidbg生成
10-25
通过加载京东应用的二进制文件到Unidbg,可以观察函数调用、内存读写等操作,从而揭示加密参数的生成逻辑。 使用Unidbg进行分析的过程大致分为以下步骤: 1. **设置环境**:根据目标应用的架构(如ARM)选择合适的...
Android通过JNI调用.so动态库
08-28
Android 通过 JNI 调用.so 动态库 Android 通过 JNI(Java Native Interface)调用.so 动态库是 Android 开发中的一种常用技术。JNI 是一种允许 Java 代码与 native 代码之间进行交互的接口。通过 JNI,我们可以在 ...
unidbg极简调用so文件的入门教程(配详细注释)
qq_41866988的博客
05-21 1458
注释已经非常详细写了,后续的apk和so文件也会发到下面(用的是r0ysue-大数据安全入门课程里面的课件)。记得电脑先安装好JDK,下载好idea后打开unidbg文件夹即可自动安装依赖。打开标记出的项目文件直接运行即可,然后正常打印出结果代表项目可以正常运行。如果需要永久激活idea的请私我。目前支持2023.1版本。最终打印的会是一个md5加密的字符串。r0ysue-大数据安全入门课程。
xhs最新7.69.2版本unidbg调用方式
05-01
近期,xhs的最新版本7.69.2的unidbg调用方式有了一些变化。该版本的unidbg调用方式主要是通过hook方法实现的,可以通过修改源代码以及调用相关的hook方法进行定制化的开发。具体来说,可以使用Java Hook以及Native Hook两种方式进行调用Java Hook是通过Java层面的hook技术实现的,这种方式通常适用于Java代码的hook,比较适合对Java代码的调试以及开发。而Native Hook则是通过JNI层面的hook技术实现的,这种方式适用于对Native层代码的调试以及开发。此外,该版本还提供了一些相关的接口供开发者进行调试以及开发。 总的来说,xhs最新7.69.2版本的unidbg调用方式相对较为灵活和方便,可以根据不同的开发需求进行个性化的开发

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值