android逆向之so分析(QQ客户端数据库加密so分析)

已于 2023-04-03 11:05:38 修改
阅读量943 收藏 1
点赞数
分类专栏: android逆向基础篇 文章标签: android逆向so基础 qq数据库加密算法
于 2018-02-09 16:25:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17748035/article/details/79299743
版权 




.text:00000D28                 PUSH    {R4-R7,LR}
.text:00000D2A                 SUB     SP, SP, #0x14   ; 开闭空间
.text:00000D2C                 MOVS    R6, R2          ; R6 = data
.text:00000D2E                 LDR     R2, [R0]        ; R2 = Env地址; 从这里可以看出下面肯定有一条语句是 R2+###,为什么? 哈哈
.text:00000D30                 STR     R3, [SP,#8]     ; Sp+8 = key1; 把key1的值放到Sp+8里面,
.text:00000D32                 MOVS    R3, #0x2AC      ; R3 = 0x2ac; 看到这里我知道R2+###语句马上就要来了,###=0x2ac
.text:00000D36                 LDR     R3, [R2,R3]     ; R3 = Env地址+0x2ac; 他果然来了; 这是一个Env指针的方法:GetArrayLength
.text:00000D38                 MOVS    R1, R6          ; R1 = data;
.text:00000D3A                 MOVS    R5, R0          ; R5 = Env指正
.text:00000D3C                 BLX     R3              ; 调用getarrayLength, 获取Data的长度,长度放到R0 = data.length
.text:00000D3E                 LDR     R3, [R5]        ; R3 = Env地址, 同理,我知道下面会有一个语句是R3+###
.text:00000D40                 MOVS    R4, #0x2E4      ; 坚定了我的想法
.text:00000D44                 STR     R0, [SP,#0xC]   ; Sp+0xc = data.length
.text:00000D46                 LDR     R3, [R3,R4]     ; R3 = GetCharArrayElements方法
.text:00000D48                 MOVS    R0, R5          ; R0 = Env指针
.text:00000D4A                 MOVS    R1, R6          ; R1 = data
.text:00000D4C                 MOVS    R2, #0          ; R2 = 0
.text:00000D4E                 BLX     R3              ; 调用GetCharArrayElements方法,获取一个指向data数组元素第0个字节的指针; R0 = *data[0]
.text:00000D50                 STR     R0, [SP]        ; Sp+0 = *data[0]
.text:00000D52                 CMP     R0, #0
.text:00000D54                 BEQ     loc_DC4         ; 当R0 == 0 跳转到loc_dc4
.text:00000D56                 LDR     R3, [R5]        ; R3 = Env地址
.text:00000D58                 MOVS    R0, R5          ; R0 = Env
.text:00000D5A                 LDR     R1, [SP,#8]     ; R1 = key1
.text:00000D5C                 LDR     R3, [R3,R4]     ; R3 = GetCharArrayElements方法
.text:00000D5E                 MOVS    R2, #0          ; R2= 0
.text:00000D60                 BLX     R3              ; 调用GetCharArrayElements方法;R0 = *key1[0]
.text:00000D62                 STR     R0, [SP,#4]     ; Sp+4 = *key1[0]
.text:00000D64                 CMP     R0, #0
.text:00000D66                 BEQ     loc_D6E
.text:00000D68                 LDR     R4, [SP]        ; R4 = *data[0]
.text:00000D6A                 MOVS    R7, #0
.text:00000D6C                 B       loc_D9C         ; R3 = data.length
.text:00000D6E ; ---------------------------------------------------------------------------
.text:00000D6E
.text:00000D6E loc_D6E                                 ; CODE XREF: Java_com_tencent_mobileqq_utils_SecurityUtile_encrypt+3Ej
.text:00000D6E                 LDR     R2, [R5]
.text:00000D70                 MOVS    R3, #0x304
.text:00000D74                 LDR     R4, [R2,R3]
.text:00000D76                 MOVS    R1, R6
.text:00000D78                 MOVS    R0, R5
.text:00000D7A                 LDR     R2, [SP,#0x28+var_28]
.text:00000D7C                 LDR     R3, [SP,#0x28+var_24]
.text:00000D7E                 BLX     R4
.text:00000D80                 LDR     R6, [SP,#0x28+var_24]
.text:00000D82                 B       loc_DC6
.text:00000D84 ; ---------------------------------------------------------------------------
.text:00000D84
.text:00000D84 loc_D84                                 ; CODE XREF: Java_com_tencent_mobileqq_utils_SecurityUtile_encrypt+78j
.text:00000D84                 MOVS    R0, R7          ; R0 = 0
.text:00000D86                 LDR     R1, [SP,#0x28]  ; R1 = key2;
.text:00000D88                 BLX     __aeabi_idivmod ; 求余运算!; R0 = 0 % key2;
.text:00000D8C                 LDR     R3, [SP,#4]     ; R3 = *key1[0]指向key数组第0个元素的指针
.text:00000D8E                 LSLS    R1, R1, #1      ; R1 = 求余的结果 * 2^1
.text:00000D90                 ADDS    R7, #1          ; R7 = R7 +1 ;
.text:00000D92                 LDRH    R2, [R1,R3]     ; R2 = key1[R1]
.text:00000D94                 LDRH    R3, [R4]        ; R3 = *data[0]第一个元素
.text:00000D96                 EORS    R3, R2          ; R3 = R3 异或 R2;
.text:00000D98                 STRH    R3, [R4]        ; R4的地址 = R3 异或 R2
.text:00000D9A                 ADDS    R4, #2          ; R4 = 2
.text:00000D9C
.text:00000D9C loc_D9C                                 ; CODE XREF: Java_com_tencent_mobileqq_utils_SecurityUtile_encrypt+44j
.text:00000D9C                 LDR     R3, [SP,#0xC]   ; R3 = data.length
.text:00000D9E                 CMP     R7, R3          ; 通过分析我知道了, data.length有多长, 就循环几次
.text:00000DA0                 BLT     loc_D84         ; if( 0 < data.length ){loc_D84}
.text:00000DA2                 LDR     R3, [R5]        ; R3 = Env地址
.text:00000DA4                 MOVS    R7, #0x304
.text:00000DA8                 LDR     R4, [R3,R7]     ; R4 = ReleaseCharArrayElements方法
.text:00000DAA                 MOVS    R0, R5          ; R0 = Env
.text:00000DAC                 MOVS    R1, R6          ; R1 = data
.text:00000DAE                 LDR     R2, [SP]        ; R2 = *data[0]
.text:00000DB0                 MOVS    R3, #0
.text:00000DB2                 BLX     R4              ; 调用ReleaseCharArrayElements方法.目的在于释放通过GetCharArrayElements方法获取到的指针, 提醒计算机这个指针以后不会在访问了.
.text:00000DB4                 LDR     R3, [R5]        ; R3 = Env地址
.text:00000DB6                 MOVS    R0, R5          ; R0 = Env指针
.text:00000DB8                 LDR     R1, [SP,#8]     ; R1 = key1
.text:00000DBA                 LDR     R4, [R3,R7]     ; R4 = ReleaseCharArrayElements方法
.text:00000DBC                 LDR     R2, [SP,#4]     ; R2 = *key1[0];指向key1数组元素第0个元素的指针
.text:00000DBE                 MOVS    R3, #0
.text:00000DC0                 BLX     R4              ; 同理,释放*key[0]
.text:00000DC2                 B       loc_DC6

上面是整个方法的代码, 基本上已经逐行添加了注释.

通过分析,确定了方法的核心内容如下:

注释用的是口水话, 有些用词不标准, 希望大家能看的懂. 这里给大家一个翻译的机会,就不公报源码了,输出结果如下:

明文:   那⒈抹基情
入库后:邛Ⓘ抍城惱

对比数据库的数据一样,分析成功

不懂的留言给我或者加QQ交流群:492788365



如如不动cjc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安卓腾xQ协议逆向-TLV544定位 (二)
weixin_44320760的博客
07-31 3068
为了方便后面使用xposed和unidbg调用,我们来先分析一下tlv544是如何在java层与so层是怎么定位到关键代码的。
安卓腾xQ协议逆向-TLV分析 (一)
最新发布
weixin_44320760的博客
07-30 1941
本文只限用于学习交流!!!用到的工具(网上都能下载到):2.小鸟嗅探3.Frida。
安卓逆向so篇(一):so文件调用
wsfsp_4的博客
08-23 8166
安卓逆向分析时偶尔会遇到签名算法在native层的,想要调用该签名算法,可以采用以下三种方法:hook相关函数,逆向so文件,调用so文件
安卓某Q协议分析
平凡者的专栏
05-16 1万+
TLV格式及编码 https://blog.csdn.net/defeny/article/details/53144535 /* renamed from: oicq.wlogin_sdk.request.l */ ​image.png​ GetStWithPasswd 这个函数比较关键 抓包数据分析 tlv18 ​ 1 package oicq.wlogin_sdk.p036b; 2 impo...
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
qq_44130722的博客
08-31 1万+
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
Android逆向分析基础篇之格式篇.pdf
08-07
目录 Dalvik 虚拟机 •Dalvik 虚拟机介绍 •Dalvik汇编语言基础 •Dalvik版本HellWorld •破解第一个程序 Dex和ODex文件格式 •Dex文件结构解析 •ODex文件结构解析 •另类APK破解方法 Smali文件格式 ...
PC微信逆向分析の绕过加密访问SQLite数据库.7z
01-03
PC微信逆向分析の绕过加密访问SQLite数据库源码,注入微信,读取微信数据库内容,在线备份数据库。 源代码包括C语言和E语言的具体实现。
Android逆向调用so(一)
10-03
Android逆向调用so
手把手教你逆向分析Android程序
02-26
ok,那我们从头说起Android的反编译,相信大家都应该有所了解,apktool、JEB等工具我们先看一下Apk文件的结构吧,如下图:1.META-INF:签名文件(这个是如何生成的后面会提到)2.res:资源文件,里面的xml格式文件在...
Android 逆向分析
工宗浩生财指南针
06-17 1667
Android程序的特点相比在于使用混淆方式打包,将包名、类名、函数名改成不易看懂的字母,从而使生成的apk小很多(android studio提供了release编译方式,使用proguard混淆),因此反编译apk最多的工作在于重构这些名称,这一点和pc上一致,对于android native程序(jni)则和pc上基本一致,不同之处在于常见的是arm汇编。轻量级反编译,反编译jar/class等java字节码文件(能力一般),提供简单的搜索能力。解决没有USB数据线的情况下的调试。
最新Android软件逆向分析基础(13课时)
qq_43691117的博客
11-14 251
1第一章:序言课时1 :序言 13分钟2第二章:Dalvik虚拟机现价:18泉 购买本章课时1 alvik虚拟机的基本原理 22分钟课时2 alvik汇编语言 7分钟课时3 alvik版的Hello World 6分钟3第三章:静态分析现价:12泉 购买本章课时1 :静态分析的概念与定位关键代码 17分钟课时2 :Smali文件格式与分析 5分钟4第四章:应用破解现价:23泉 购买本章课时1 :试...
Android反编译apk逆向分析
热门推荐
冷冷清清里风风火火是我
10-27 2万+
Android反编译apk反编译、逆向软件下载地址apkTool报错 : Error: Unable to access jarfile \xx\apktool.jar 确保命令中的路径正确,最好无中文和空格 确保文件中夹中包含apktool.jar (即使是apktool2.0.jar也要改成apktool.jar) Input file was not found or was not re...
安卓 qq 聊天记录数据库解密的一个误区
qq_33974611的博客
03-19 572
在 UTF-8 长度为四个字节的情况下(例如某些 emoji),UTF-16BE 会将其转换为两个 char,如果我们再按照一个 char 去解密,就会出现乱码。当然,在字节长度 1-3 的情况下,直接按照 UTF-8 解密也是可以的,但是在字节长度为 4 的情况下,就会出现乱码,需要特别注意。其实这个问题应该是在 Java 外的语言中才会出现,安卓 QQ加密方法是写在 so 层的,传入的是 Java 层的。安卓解密的具体方法我就不再赘述了,大体方法都是正确的,这里只讲我遇到的问题。
Android逆向之旅-Android Studio的调用So文件极简教程
u013773608的博客
03-13 2884
函数是需要生成so文件被调用的。
查看qq so中tea算法加密前后数据
liutianheng654的博客
01-30 3519
环境:qq android 7.9.7.3915 之前是hook的java层的encoderequest函数,但是这里面入参太多,不知道最终组包是如何进行的也,这篇先看一下腾讯的tea算法加解密前后数据是什么样子的。 通过peid的插件krypto analyzer分析qq的so文件,找到libcoderwrapperV2。里面使用了tea算法, 故我们只要hook这个函数里...
逆向 qq 消息撤回
l331258747的专栏
01-17 1575
开发工具 工具名称 工具类型 说明 AndroidStuduo 编辑工具 开发工具 jadx java工具 将apk解成java项目 xposed 插件工具 插件 qq 版本8.8.80 开始 先通过jadx把apk反编译出来源码,通过build出来,在android studio打开,方便分析。 要撤回自己的消息,肯定需要监听消息发送。 消息操作的函数基本都在这里ChatActivityFacade,可以通过 hook 此类的全部的函数,再通过手机发送一条消息,看会调
Android逆向(6)——脱壳前奏,激动人心的so源码分析
王嘟嘟的博客
03-16 2426
首发于I春秋,未经允许,禁止转载。感谢蛋总栽培~ 0x00 前言 之前看来dex加载的过程是不是特别开心。现在我们就更接近脱壳了。so的动态加载,链接,等等,你都会在这篇文章里看到。当然还是要自己进行一个研究才可以。 0x01 so的加载初步分析 so的加载分析。 我们还是从源码入手。 主要函数 dlopen 这里dlopen的函数有一个重点就是do_dlopen。 我...
安卓逆向frida之so层hook分析关键函数定位探究
云霄IT的博客
07-28 1786
【代码】安卓逆向frida之so层hook分析关键函数定位探究。
IDA pro7.5+使用教程大全(助力安卓so层逆向篇)
云霄IT的博客
07-28 2898
【代码】IDA pro7.5+使用教程大全(助力安卓so层逆向篇)
Smali代码一些知识.docx
05-07
总之,了解和掌握Smali代码是进行Android应用程序逆向分析和定制的基础。通过学习Smali代码,我们可以深入了解应用程序的内部机制,发现潜在的安全漏洞,并实现应用程序的个性化定制。然而,要成为一名熟练的Smali...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值