这种情况:
针对于 抓包分析时 加密不是那么复杂 但是有壳
加密都是在 so中进行的 java层没有进行加密 或者是 很弱的加密 能猜出来的那种 这种方法 运气成分比较大 但也不失为一种方法
首先找到
到lib文件夹里 找 可疑的so 例如有些名字有含义 能大概猜出来是干啥的
比如:libhttputils.so httputils 这含义看起来 就是对http里的 某些字段值 进行加密的 工具 大概猜测
然后我们把这so 到 IDA里分析下
这里在 export 导出函数表里 搜索Java 关键字 能找到 然后进去 F5看C代码
大概 就是 这里 进行加密的
我们也可以这么的去验证下
用DDMS(monitor) 用 method profling 捕捉方法
在手机端进行 关键操作 然后在 捕捉到的 方法里面
搜索这个so里 提高的Java层接口函数 关键字
注意这里关键字 是不带 Java_+包名的 仅仅就是 函数名
如果能搜 到 说明 这个函数 在关键操作过程中 被调用了
基本就能证实就是这里
然后IDA动态调试 下断点 进行分析