某app zzReqSign 算法还原分析过程

已于 2024-02-22 16:09:58 修改
阅读量979 收藏 32
点赞数 11
分类专栏: Android 文章标签: 算法 java javascript github visual studio
于 2024-02-22 16:03:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40120399/article/details/136235139
版权

文章目录

前言

工欲善其事必先利其器 准备工具

  1. Fiddler 或任意一款抓包工具
  2. 真机或者模拟器
  3. VSCode
  4. Frida
  5. Jadx\Jeb\GDA 任选一款
  6. IDA

一、抓包确定目标

分析加密第一步 先抓包确定参数 所以老规矩 打开FD先抓包
在这里插入图片描述其中 zzReqSign 便是我们需要还原的算法 我们查课发现没有加固 直接丢进jadx进行反编译

二、反编译定位加密位置

在这里插入图片描述
通过jadx反编译后搜索初步定位到这里 发现是个native 方法 那么加密在so层 上面 System.loadLibrary(“signLib”); 就是加载so的指令 其中 signLib就是so名字

三、反编译定位加密位置

解压apk 去lib目录寻找是否有这个文件
在这里插入图片描述
发现确实有这个so 拖入IDA 导出函数 搜索 getSign

定位如下位置:
在这里插入图片描述
代码如下:

int __fastcall Java_com_zhuanzhuan_sign_SignUtil_getSign(JNIEnv_ *a1, int a2, int a3, int a4)
{
  const char *app_sign_sha1; // r0
  struct _jobject *v9; // r8
  signed int v10; // r5
  int DevID; // r0
  struct _jobject *v12; // r8
  int v13; // r9
  jbyte *v14; // r6
  jsize v15; // r10
  _BYTE *v16; // r8
  signed int i; // r11
  jbyte v18; // r4
  int v19; // r1
  JNIEnv_ *v20; // r4
  int v21; // r9
  int MD5; // r10
  int v24; // [sp+8h] [bp-30h]
  struct _jobject *v25; // [sp+Ch] [bp-2Ch]
  struct _jobject *v26; // [sp+10h] [bp-28h]
  JNIEnv_ *v27; // [sp+14h] [bp-24h]
  jbyte *v28; // [sp+18h] [bp-20h]

  if ( !a3 )
    return 0;
  app_sign_sha1 = get_app_sign_sha1(a1, a4);
  if ( !app_sign_sha1 )
    return 0;
  if ( strcmp(app_sign_sha1, app_sing_str) )
    return 0;
  v9 = toBytes(a1, a3);
  v10 = a1->functions->GetArrayLength(a1, v9);
  v28 = a1->functions->GetByteArrayElements(a1, v9, 0);
  DevID = getDevID(a1, a2);
  if ( !DevID )
    return 0;
  v26 = v9;
  v24 = DevID;
  v12 = toBytes(a1, DevID);
  v13 = 0;
  v14 = a1->functions->GetByteArrayElements(a1, v12, 0);
  v27 = a1;
  v25 = v12;
  v15 = a1->functions->GetArrayLength(a1, v12);
  v16 = malloc(v10);
  for ( i = 0; i < v10; ++i )
  {
    v18 = v28[v13 % v10];
    v19 = (v13 + 1) % v15;
    v13 += 2;
    v16[i] = v14[v19] ^ v18;
  }
  v20 = v27;
  v21 = v27->functions->NewByteArray(&v27->functions, v10 + 9);
  (v20->functions->SetByteArrayRegion)(v20, v21, 0, v10, v16, a3);
  v20->functions->SetByteArrayRegion(&v20->functions, v21, v10, 9, "smiletozz");
  MD5 = getMD5(v27, v21);
  v20->functions->DeleteLocalRef(&v20->functions, v21);
  free(v16);
  v20->functions->DeleteLocalRef(&v20->functions, v24);
  v20->functions->ReleaseByteArrayElements(&v20->functions, v25, v14, 0);
  v20->functions->ReleaseByteArrayElements(&v20->functions, v26, v28, 0);
  v20->functions->DeleteLocalRef(&v20->functions, v25);
  v20->functions->DeleteLocalRef(&v20->functions, v26);
  return MD5;

这段函数最终返回了MD5 MD5是由 MD5 = getMD5(v27, v21);而来的 我们姑且认为他是一个md5算法 点进去看看

在这里插入图片描述
代码如下:

int __fastcall getDigestedBytes(_JNIEnv *a1, int a2)
{
  struct _jobject *v4; // r6
  jmethodID v5; // r5
  jstring v6; // r0
  _jobject *v7; // r9
  _jmethodID *v8; // r0
  int v9; // r8

  v4 = a1->functions->FindClass(a1, "java/security/MessageDigest");
  v5 = a1->functions->GetStaticMethodID(a1, v4, "getInstance", "(Ljava/lang/String;)Ljava/security/MessageDigest;");
  v6 = a1->functions->NewStringUTF(a1, "MD5");
  v7 = _JNIEnv::CallStaticObjectMethod(a1, v4, v5, v6);
  v8 = a1->functions->GetMethodID(a1, v4, "digest", "([B)[B");
  v9 = _JNIEnv::CallObjectMethod(a1, v7, v8, a2);
  a1->functions->DeleteLocalRef(a1, v4);
  a1->functions->DeleteLocalRef(a1, v7);
  return v9;

在这里插入图片描述 插播一条广子 yzm平台 有需要的朋友们可以看看
点我直达
新用户注册加群即送10000点余额

四、frida hook验证

这段就比较简单了 反射java调用md5算法 到这里好像已经分析完毕 貌似就是个md5算法而已 是不是这样呢?我们试验一下

rida hook java层 getSign方法
代码如下:

let SignUtil = Java.use("com.zhuanzhuan.sign.SignUtil");
SignUtil["getSign"].overload('java.lang.String', 'android.content.Context').implementation = function (str, context) {
    console.log(`SignUtil.getSign is called: str=${str}, context=${context}`);
    let result = this["getSign"](str, context);
    console.log(`SignUtil.getSign result=${result}`);
    return result;
};

抓包结果为:zzReqSign: 47383db507e87badc5bc9ce348a6193e
我们去hook结果搜索
在这里插入图片描述
下面为结果 上面是明文 我们md5一下

在这里插入图片描述

五、进一步分析so

发现结果并不对 那么肯定是在md5之前还有其他操作 我们返回so继续分析

在这里插入图片描述
我们看到有个getDevID 方法

getDevID 代码如下:

int __fastcall getDevID(int a1, int a2)
{
  int v4; // r2

  v4 = (*(*a1 + 452))(a1, a2, "getDeviceId", "()Ljava/lang/String;");
  return j__JNIEnv::CallStaticObjectMethod(a1, a2, v4);
}

也是反射的java 这里对应的好像就是java 层

在这里插入图片描述
我们hook一下此方法 拿到值

let SignUtil = Java.use("com.zhuanzhuan.sign.SignUtil");
SignUtil["getDeviceId"].implementation = function () {
    console.log(`SignUtil.getDeviceId is called`);
    let result = this["getDeviceId"]();
    console.log(`SignUtil.getDeviceId result=${result}`);
    return result;
};

在这里插入图片描述
值=SignUtil.getDeviceId result=BE304BAE68E9C99571DEE26718102680

在这里插入图片描述

六、算法还原

这个md5加密前经过了一段简单处理 代码就不放出来了 有兴趣的自己去研究研究 很简单
在这里插入图片描述

结束语

  1. 云在青天水在瓶
  2. 你以前的选择成为了现在的你,无法改变,而你现在的选择将造就未来的你。

------------------------------------------------END--------------------------------------------

小七先生ヽ
关注
  • 11
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
某软件商店app抓包分析sign加密算法实现
吴秋霖的博客
11-25 4520
手把手教你抓包分析某软件商店
得物sign参数逆向分析与Python算法还原
吴秋霖的博客
04-20 3394
使用Python获取得物商品数据、包含Sign签名算法分析与Python算法还原
实战app-分析接口算法还原
公过水蚊的博客
09-01 302
脱壳 由于我提前对该app进行分析了,有加壳,首先对其进行脱壳处理。 运行adb shell dumpsys activity activities | grep mResumedActivity获取当前的一个activity 然后使用FRIDADEX_DUMP脱壳后进行过滤,grep -ril “PassWordLoginActivity” 得到我们要的dex文件 抓包 首先进行抓包分析,以登录界面为例 使用r0capture进行抓包,运行python r0capture.py -U com.car
分享对某火APP加密算法和签名算法还原
jmm18363027827的博客
08-10 193
还有这个vdog的壳代码量还是比较惊人的,内部大量复杂的加解密操作和校验的操作,而且还做了复杂的混淆,以后有时间了可以来研究一下这家伙是如何对frida进行防护的。我们巧妙使用xcube来逃过壳对frida的spwan和attach检测,还有一个注意的点就是能看到我写的frida脚本都没法使用console.log输出,都是直接用写文件的方式,这是因为用console.log根本无法输出任何内容, 我猜测这个也是壳做的屏蔽, 极有可能直接hook了底层的log函数,可谓恶心至极。
[原创]分析还原某车appsignature算法
TMGZSQQ490574661的博客
03-12 246
0x00 直接抓包 发现无法用代理抓,于是改用HttpAnalyzer,可以抓到。目前需要使用的就是GET的,改参数提交,提示如下: {"result":10001,"message":"系统时间不准确"} 有个参数就是signature。 0x01 查找定位并分析 打开apk看assets文件夹下有libjiagu.so等,还得先脱壳获取真实的dex文件。 在4.4.2的模拟器里打开app异常,但可以用xposed脱壳插件可以脱壳,把所有的dex打包,拉进AndroidKiller里反编译。 搜索关键词
某电商App sign签名算法解析(六)
dzqxwzoe的博客
12-29 967
原文String调用一次getBytes(),之后转成了 byte[],然后调用b函数做一次zip压缩,最后调用一次a函数做了一次魔改了Base64操作。这次app唯一的破绽就在于密文的开头是不变的,所以我们在做加密的时候尽量保证每次的结果都不一样,而且密文要无规律。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们。
Android jni系统变量、函数、接口定义汇总
liuhonggang23的专栏
10-20 713
在做Android jni开发时,jni为我们提供了哪些函数、接口、变量,有时候一头雾水,今天就把jni.h中定义的所有内容列出来,供自己查阅:  Java代码   /*   * Copyright (C) 2006 The Android Open Source Project   *   * Licensed under the Apache License,
点点数据K参数加密逆向分析(RPC方案跟加密算法还原
吴秋霖的博客
03-30 3076
爬虫JS逆向分析实战,点点数据K加密参数RPC方案与加密算法还原
七麦analysis参数分析与Python算法实现
吴秋霖的博客
09-08 6282
最新!深度解析七麦下载量趋势analysis参数逆向分析与Python加密算法实现!
使用Python获取短视频与评论(App与Web端分析
吴秋霖的博客
11-30 5344
App与Web端深度分析,使用Python爬取某短视频、简介与评论信息做数据分析
算法 还原
blind cat
03-01 544
常见编码: hex,URL encode,Base64,HTML Entry HASH算法 : CRC32-4个字节的int MD5- 长度为32的字符串或者为0x10大小的buffer SHA1-长度为40的字符串或者为0x14大小的buffer SHA256 - 长度为64的字符串或者为0x20大小的buffer HMAC(和其他hash算法进行组合) - 在MAC的基础上加了key,输出还是md5的格式 对称算法: RC4 : DES : AES : 工具: 在线网站 :https://gchq.gi
JNI知识(一)概述
weixin_34266504的博客
03-04 81
1 JNI概述JNI是java native interface的缩写,是用来从java调用C++/C代码,也可以从C++/C调用Java代码。在jni.h中可以看到class _Jv_JavaVM{public: const struct JNIInvokeInterface *functions;jint DestroyJavaVM ...
JNI官方教程
Android菜鸟的专栏
12-10 1121
Java官方JNI教程:https://docs.oracle.com/en/java/javase/11/docs/specs/jni/functions.html
ssssss65
kitty0428的博客
11-01 94
【代码】ssssss65。
IDA里so里Java接口函数
qq_34108752的博客
09-23 690
IDA中 so里导出函数 java接口函数 F5里 看C代码 这样的 v8 = (*(int (__fastcall **)(_JNIEnv *, int, int))(*(_DWORD *)v6 + 692))(v6, v5, v4); v9 = (*(int (__fastcall **)(_JNIEnv *, int, _DWORD))(*(_DWORD *)v6 + 736))(v6, v...
java 常用jni方法和知识点
lhs286266503的专栏
04-19 918
下面是访问String的一些方法:   GetStringUTFChars将jstring转换成为UTF-8格式的char*   GetStringChars将jstring转换成为Unicode格式的char*   ReleaseStringUTFChars释放指向UTF-8格式的char*的指针   ReleaseStringChars释放指向Unicode格式的char*的指针
趣味算法------试用 6 和 9 组成的最大数字
markingyi的博客
08-26 539
给出一个数字,反转其中一位使数字最大化,递归求解。
递归、搜索与回溯算法
最新发布
无聊_人的博客
08-29 2179
所谓的递归其实就是函数自己调用自己的情况。
力扣(无重叠区间)
yyssas的博客
08-29 2419
先按照左侧数字排序,然后对于i位置和i+1位置,如果i位置右侧数字大于i+1位置左侧数字,则说明这两个区间有重叠,则需要移除更可能和后面重叠的那一个,因为排序是按照左边从小到大排序的,所以左边一定是小的,此时要关注的就是右边,也就是选择i和i+1右侧更小的那个,即右侧大的那个删除。一直到右侧小于k的左侧停止,此时剩下的一定是不会重叠的那个。需要移除区间的最小数量,使剩余区间互不重叠。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值