学习unidbg也有个把月了,还一直停留在补环境中,而且有的环境也不会补,不过通过这段时间的学习,也算是有点收获。
因为把unidbg项目pull下来,里面就有使用示例,看到了正好有个app的sign算法,而且也没有补环境,我就想着,看能不能把他的算法搞出来。
先整体运行一下unidbg
并没有发现什么有用的东西,不过从样子来看,这个sign很想一个hash算法,但是这个长度属实给我整不会了。
没办法了,只能请出那个女人了
因为这个算法不是动态注册的,所以可以直接在导出表中找到,这里不仅找到了这个函数,还找到了一个signmd5,他很可疑,继续向下看。
我们先进入函数,无脑F5进入伪c代码
这里的函数名就很可疑,直接进去,看到这个函数 和导出表的很像,进去
最终就来到了这里
虽然不知道是不是正常的md5算法,那就直接 用unidbg hook,先来hook一下传入参数
因为是在这个地方调用的,所以我们hook 1b1e 这个地址,至于是第几个参数,挨个试一下,我也不是太能看懂这个 汇编指令,不过现在已经看到了 加密的参数,接下来就hook 结果
这一次断点我们打到这个方法的最后,拿到地址
结果出来了,现在要做的是 把 加密参数放在 md5加密试一下,看是不是正常的md5
这里用的是Boris佬的爬虫工具库,feapder开源框架的作者,很好用。
结果一样,很好,完成了第一步。
现在看到这,就差后面的几位了 ,剩下的分析,我也是纯属瞎猜,侥幸搞出来的,废话不多说,我们先尝试更换参数,看后面几位会不会有变化。
首当其冲的就是最后的一个参数,他传入的数值,我们更换成其他的再看,这是我分别 传入 0,2,10,11 四个参数的结果,发现改变成这样 10的16进制不就是a吗,继续把数字搞大一点会发现他只取后4位,所以第三列的4位数字 就是最后一个参数的hex 取后4位。
接着看倒数第二个参数,也就是那一段字符串,更换参数就会发现是 这个参数的前8位
最后修改map的参数,多修改几次,就会发现 前四位是 map的 key+value的长度 进行 hex,第二个4位是 map的key的个数 进行 hex,到这一步,整个算法也就是
但是但我把代码写完后,运行结果确和unidbg的结果不一样,那这样就只能继续分析了,经过前面的hook我们已经得知这就是一个md5算法,结果也是一样的,那么就是在结果后进行了什么操作,
这一步后面进行了操作,我们要使用unidbg的另一个功能了,console debugger,就这样往下跟,找到了一步
到这里 r8 寄存器里就是md5的返回值了
而这段指令的意思,就是把R0寄存器的值放入R8的第R1个位置,也就是把61修改为62,继续n下去,看是不是修改了。
发现确实修改了,那么现在问题的关键就是 R0 和 R1 寄存器是什么时候被赋的值。
接下来的操作就是漫长的 修改 变量 + debugger + 猜测 ,最终发现 R0是md5结果的第一位的 hex,而R1则是这个hex的第二位,意思就是 R0 = 62 ,R1 = 2。R0 = 63,R1 = 3。至于我是怎么发现的,也是靠猜,我也不知道该怎么说,最终把这个算法用python复现了。
这也是最近学习android逆向的一个进步,当然要走的路还很长。。。
最后,大家如果想学unidbg教程的话,可以加入龙哥的知识星球,里面有很不错的案例,比自己去摸索要简单多了。
扫一扫
2731
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
