某视频APP的脱壳、hook逆向

最新推荐文章于 2024-08-10 21:02:28 发布
最新推荐文章于 2024-08-10 21:02:28 发布
阅读量1.8k 收藏 12
点赞数 1
分类专栏: 移动安全 安卓逆向 文章标签: 逆向 android 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nini_boom/article/details/105563277
版权

前言

这看似是一个比较正常的视频软件,
在这里插入图片描述
也都可以看得到,但是出现了不太和谐的东西,点开之后都是需要花钱才能观看的内容。
在这里插入图片描述

脱壳

在这里插入图片描述
查壳,是某数字的,就不单独说了。

这里使用frida-unpack进行脱壳。
用法在READM.md中说的很清楚了,这里不做过多叙述了。
这里有两个注意点:

  • 一、看OpenMemory函数点
    看代码。
'use strict';
/**
 * 此脚本在以下环境测试通过
 * android os: 7.1.2 32bit  (64位可能要改OpenMemory的签名)
 * legu: libshella-2.8.so
 * 360:libjiagu.so
 */
Interceptor.attach(Module.findExportByName("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"), {
    onEnter: function (args) {
      
        //dex起始位置
        var begin = args[1]
        //打印magic
        console.log("magic : " + Memory.readUtf8String(begin))
        //dex fileSize 地址
        var address = parseInt(begin,16) + 0x20
        //dex 大小
        var dex_size = Memory.readInt(ptr(address))

        console.log("dex_size :" + dex_size)
        //dump dex 到/data/data/pkg/目录下
        var file = new File("/data/data/dupdex/" + dex_size + ".dex", "wb")
        file.write(Memory.readByteArray(begin, dex_size))
        file.flush()
        file.close()
    },
    onLeave: function (retval) {
        if (retval.toInt32() > 0) {
            /* do something */
        }
    }
});

/system/lib/libart.so中存在OpenMemory函数,注意上面脚本中的_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_这段字符串,不一定是你模拟器或者Android手机对应的OpenMemory函数对应的地方,所以如果脚本提示找不到对应的OpenMemory函数位置,最好按照流程来,把自己的函数位置替换掉脚本里的。

adb pull /system/lib/libart.so
nm libart.so| grep OpenMemory

在这里插入图片描述

  • 要注意版本问题。我们看脚本,在Android7.x之后,脱壳点就不再是OpenMemory了,8.x的基本都是OpenCommon,可以用同样的方法找到OpenCommon函数位然后把OpenMemory替换掉即可。

还有要修改这段22行的代码:
在这里插入图片描述
这是脱壳后dex存放文件的地方,你可以自己命名,并给予目录读写权限,例如我的就是/data/data/dupdex/
在这里插入图片描述
在这里插入图片描述
执行脱壳流程。可以看到我们的目录多了dex文件。
在这里插入图片描述

hook成土豪

逻辑主要在5619552.dex中,这里我们破解积分的问题。
一般可以查看有没有UserInfo的内容,这里找到后发现,有
在这里插入图片描述
那我们就可以hook这个方法了,主要思路是当APP调用getJifen方法时直接返回我们想要的数字就可以了。

var userinfo = Java.use("com.cz.babySister.javabean.UserInfo");
userinfo.getJifen.implementation  = function(){   
    return "100000";
}

我也是这样执行了,但是发现总是报错。
在这里插入图片描述
在这里插入图片描述
后来发现hook加固的函数时不能这么直接hook。
分为三步:

  • 第一步是拿到加载应用本身dex的classloader;
  • 第二步是通过这个classloader去找到被加固的类;
  • 第三步是通过这个类去hook需要hook的方法
    具体原理见这里。不在多说了。

这里直接贴上脚本。

'use strict'
//frida -U -f com.cz.babySister -l jifen.js --no-pause
if(Java.available){
    Java.perform(function(){
        var application = Java.use("android.app.Application");
        var reflectClass = Java.use("java.lang.Class");
        
        console.log("application: " + application);

        application.attach.overload('android.content.Context').implementation = function(context){
            var result = this.attach(context); // 先执行原来的attach方法
            var classloader = context.getClassLoader(); // 获取classloader
            Java.classFactory.loader = classloader;
            var userinfo = Java.classFactory.use("com.cz.babySister.javabean.UserInfo"); //这里能直接使用Java.use,因为java.use会检查在不在perform里面,不在就会失败
            console.log("UserInfo: " + userinfo);
            
            userinfo.getJifen.implementation  = function(){   
                return "100000";
            }
            return result;
        }
    });
}


frida -U -f com.cz.babySister -l jifen.js --no-pause

这里就能看到效果了。
在这里插入图片描述
在这里插入图片描述
这时你就是拥有100000积分的土豪了,想怎么看就怎么看。
但是我这里破解VIP就出现了点问题,后面再继续说吧~今天就到这。

nini_boom
关注
专栏目录
app逆向(10)| APP的加固与脱壳
不愿意透露姓名的网友
10-15 2201
像前四步这些都是内部做的我们没有办法去进行操作,一般我们是在第五步进行脱壳。我们把app包后缀改为zip后,进入lib层,看里边的so文件,大概可以确定是什么三方的加固。全部下载下来到电脑上,用jadx依次打开,对比AndroidManifest.xml,找到需要的dex。点击FDex2-选一个有壳的apk,例如我选择引力播app,记住输出目录,点击ok,出去进入该软件。进入百度后,退出软件,进入文件管理,找到刚才的目录,发现生成了dex文件,可能会有多个。加固后的apk我们是无法看见源代码的,需要脱壳
某优鲜APP协议参数paramsMD5 逆向分析
02-23 774
app版本1.4.0 app使用360壳且混淆 一、抓包分析 app登录入口 二、先脱壳 因为有360加固,所以先脱壳 三、用jadx-gui打开 打开0x9e4e7f34.dex 搜索关键字paramsMD5 1.打开之后搜索关键字符串paramMd5 2.继续跟进 3.java代码 //这几个是头部定义的字符串 //private static final String d ...
菜鸟 腾飞脱壳教程视频
07-07
视频适用于刚刚从事系统安全模块的IT同行,该学习视频主要讲解了一些常见的脱壳方法,比如ASPACK,FSG2.0等脱壳方法。
微信Hook逆向分析视频教程
wechathook的博客
04-03 3671
微信Hook逆向分析视频教程 1_课程介绍找微信个人数据基址 2_c语言开发DLL注入工具 3_c语言编写dll读取微信个人数据 4_微信双开实战讲解 7_获取微信二维码基址第二种方法 8_彻底搞懂hook原理手动实现hook 9_写代码实现hook获取二维码 10_实战分析微信发文本消息call 11_实战分析微信实时接收消息hook地址 18_实战分析微信图片加密解密 ...
app逆向学习记录——1
最新发布
dbhbc的博客
08-10 271
app逆向学习记录
Frida hook脱壳(n1book数字壳的传说)
一个啥也不会的小菜鸡!
05-20 894
*MuMu模拟器:adb connect 127.0.0.1:7555夜神模拟器:adb connect 127.0.0.1:62001雷电模拟器:adb connect 127.0.0.1:5555逍遥安卓模拟器:adb connect 127.0.0.1:21503天天模拟器:adb connect 127.0.0.1:6555海马玩模拟器:adb connect 127.0.0.1:5300连接成功!
微信视频视频加密逆向
q2919761440的博客
12-15 4855
略去, 总之就是WeChatVideoDownloader不能用了。原文链接:here。
三分屏.exe加密视频解密(即所谓的脱壳)
03-17
三分屏.exe加密视频解密(即所谓的脱壳),详细说明见压缩文件的说明文档
记一次frida实战——对某视频APP脱壳hook破解、模拟抓包、协议分析一条龙服务1
08-03
一、前言前天看雪学院frida 是一个十分强大的工具,已经学习它有一段时间了,但也只是零零碎碎的练习与使用。最近在对一个 APP 进行分析的过程中,使用 fri
安卓app逆向破解脱壳教程
热门推荐
sinat_28371057的博客
01-19 2万+
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida (信抢红包):https://www.freebuf.com/company-information/180480.html APP逆向神器之Frida【Android初级篇】:https://www.jianshu.com/p/2d755beb1c54 frida 官网文档:https://fr..
某眼查的逆向
qq_34949842的博客
08-27 1565
​一: 准备 APP: 某眼查 版本: 11.4.0 工具: xposed, FDex2, JustTrustMe, Fiddler, jadx 二. 抓包 1. 打开Fiddler,打开天眼查抓包(开启JustTrustMe能抓到包) 我们抓取工商信息这块,查看Fiddler上面的body这块,因为传输数据,所以包肯定是比较大的,点开看右边的json格式能看到和工商信息里面的相符的内容,说明这就是我们需要抓取的数据包了. 查看抓到包的请求头,找出我们需要自动生成的参数: tyc-hi, Aut
一个基于xposed和inline hook的一代壳脱壳工具
07-03
http://blog.csdn.net/zhangmiaoping23/article/details/74164657 原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hook的时机,大部分的壳都是在attachBaseContext这个方法里面去完成代码的解密。所以呢,我们就去hook Application的attach方法,在这个方法执行之前,将我们的动态库加载起来,动态库里面实现的就是对art::DexFile::OpenMemory方法的劫持。这样的话在他解密代码前art::DexFile::OpenMemory就已经被我们给控制了,所以就可以为所欲为了。这里要感谢ele7enxxh提供的Android-Inline-Hook来让我可以对native层的hook
再发一个某加密的脱壳视频
听鬼哥说故事
12-10 7754
发一个某加密的脱壳视频,官网更新了版本,不过网上的软件多数都还是这个版本的。
[视频]K8软件破解脱壳入门教程
weixin_30642305的博客
03-05 1584
[视频]K8软件破解脱壳入门教程 链接:https://pan.baidu.com/s/1aV9485MmtRedU6pzyr--Vw 提取码:vbak C:\Users\K8team\Desktop\K8软件脱壳破解教程>tree /f文件夹 PATH 列表卷序列号为 00000200 1AD9:EBF0C:.│ 说明.txt│├─学习手记│ └─破解手记│ │ 16...
so反调用android api,完全爆破某碰视频App的后台API(脱壳、反编译dex,反汇编so文件)...
weixin_33993891的博客
05-27 783
只分享技术,不分享成品!只分享技术,不分享成品!一、抓包分析首先打开抓包工具、软件,抓取访问数据库的url。我这里是在真机中安装vmos虚拟机,然后用真机上的HttpCanary抓虚拟中某碰视频App的包。你可以用pc抓手机/虚拟机的包,都是一样的。iShot2020-05-2122.06.33.png (198.42 KB, 下载次数: 3)2020-5-21 22:06 上传iShot2020...
HooK GetModuleHandleA 脱壳辅助工具
weixin_34174322的博客
09-13 310
我们都知道标准delphi程序一开始肯定会调用到GetModuleHandleA这个涵数,很多壳都把OEP处理了,也就是运行过后清楚什么的,代码偷取什么的,我们只要Hook这个函数,然后让程序暂停下来,那么是不是壳就还没有完成代码的清楚什么的,我们dump出来的代码就是完整的或者是可分析的.当然这个工具很容易就可以改来Hook其他函数.我给出代码,大家自己研究好了. unit...
ART模式下基于Xposed Hook开发脱壳工具
Fly20141201. 的专栏
09-26 5046
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78092365Dalvik模式下的Android加固技术已经很成熟了,Dalvik虚拟机模式下的Android加固技术也在不断的发展和加强,鉴于Art虚拟机比Dalvik虚拟机的设计更复杂,Art虚拟机模式下兼容性更严格,一些Dalvik虚拟机模式下的Android加固技术并不能马上...
iOS(越狱) 应用脱壳反编译hook教程 (系统ios11.3.1)
momoxiaoming的博客
07-09 7036
为什么会有这边博文? 因为公司原因,领导又让我捡起荒废了一年多的ios,了解对ios应用脱壳以及反编译hook相关知识.相比于安卓的hook来说(想了解安卓hook的可以参考我的另外一篇文章),ios的hook要麻烦的多,前人栽树后人乘凉,希望我的这边文章能给大家对ios的hook有个清晰的认识和思路. 一. 项目需求 本文以很久以前上架的一个练手app为例(app有点烂,将就一下吧,点击传送门)...
2022CTF培训(一)脱壳技术&Hook入门
sky123博客
11-16 1843
绝大多数加壳程序会在被加密的程序中加上一个或多个段(Section),在最后跳转至 OEP 时一般都是通过一个跨段跳转指令进行转移,所以依据跨段的转移指令(JMP 等)就可找到真正的入口点,并且在该跳转指令前一般会有 POPAD / POPFD 指令出现(恢复入口现场)。在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳。使用 Scylla 将程序 dump 下来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值