unidbg 模拟执行案例(某汽车类app)(续)

最新推荐文章于 2024-08-01 19:22:20 发布
最新推荐文章于 2024-08-01 19:22:20 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: 安卓篇 文章标签: android java 安卓逆向 安卓逆向案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40157234/article/details/122013328
版权

上一篇文章讲了解密响应数据, 这一篇来看看如何加密请求数据。

打开jadx 搜索关键词, 有一处非常之可疑.

直接frida hook

    hookClass.addCheckCode.overload('java.lang.String', 'int').implementation = function (p1, p2) {
            console.log('222p1 ===> ' + p1);
            console.log('222p2 ===> ' + p2);
            console.log('222result ' + this.addCheckCode(p1, p2));

            return this.addCheckCode(p1, p2);
        }

hook结果如下 

跟我们抓包得数据对应上了。 java层继续跟踪, 是个native函数

继续使用unidbg

public String llbencode(){


        // args list
        List<Object> list = new ArrayList<>(10);
        // arg1 env
        list.add(vm.getJNIEnv());
        // arg2 jobject/jclazz 一般用不到,直接填0
        list.add(0);

//        String p1 = "{\"statisticsParams\":[{\"advertiseId\":\"2230\",\"statisticsDate\":1639813823383,\"statisticsType\":1}]}";
//        p1 = "123";
        String p1 = "pageNo=2&pageSize=20";
        String p3 = "1638526032490";
        list.add(vm.addLocalObject(new StringObject(vm, p1)));
        list.add(2);
        list.add(vm.addLocalObject(new StringObject(vm, p3)));
        // 参数准备完成
        // call function

        Number number = module.callFunction(emulator, 0x13A18 + 1, list.toArray())[0];
        System.out.println("测试这里");
        System.out.println(number);
        System.out.println(number.intValue());

        String result = vm.getObject(number.intValue()).getValue().toString();
        return result;
    }

运行后,结果如下

 

补环境 , 代码如下

@Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature) {

//            case "android/os/SystemProperties->get(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;":
//                return new StringObject(vm, "FA6AT0306923");
            case "android/app/ActivityThread->currentPackageName()Ljava/lang/String;":
                return new StringObject(vm, "com.xxx.llb");
//            case "android/app/ActivityThread->currentActivityThread()Landroid/app/ActivityThread;":
//                return vm.resolveClass("android/app/ActivityThread").newObject(null);

        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

补完环境后,继续运行,结果如下

根据提示,继续补环境,代码如下

@Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature) {

//            case "android/os/SystemProperties->get(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;":
//                return new StringObject(vm, "FA6AT0306923");
            case "android/app/ActivityThread->currentPackageName()Ljava/lang/String;":
                return new StringObject(vm, "com.cloudy.linglingbang");
            case "android/app/ActivityThread->currentActivityThread()Landroid/app/ActivityThread;":
                return vm.resolveClass("android/app/ActivityThread").newObject(null);

        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

 

运行后,结果如下

 

继续补

代码如下

@Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature) {

            case "android/os/SystemProperties->get(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;":
                return new StringObject(vm, "FA6AT0306923");
            case "android/app/ActivityThread->currentPackageName()Ljava/lang/String;":
                return new StringObject(vm, "com.cloudy.linglingbang");
            case "android/app/ActivityThread->currentActivityThread()Landroid/app/ActivityThread;":
                return vm.resolveClass("android/app/ActivityThread").newObject(null);

        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

运行后, 结果如下

 

补环境代码如下

@Override
    public DvmObject<?> callObjectMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature) {
            case "android/net/wifi/WifiInfo->getMacAddress()Ljava/lang/String;":
                return new StringObject(vm, "02:00:00:00:00:00");
            case "java/lang/Object->getConnectionInfo()Landroid/net/wifi/WifiInfo;":
                return vm.resolveClass("android/net/wifi/WifiInfo").newObject(null);
            case "android/app/ContextImpl->getSystemService(Ljava/lang/String;)Ljava/lang/Object;":
                return vm.resolveClass("java/lang/Object").newObject(null);
            case "android/app/ContextImpl->getPackageManager()Landroid/content/pm/PackageManager;":
                return vm.resolveClass("android/content/pm/PackageManager").newObject(null);
            case "android/app/ActivityThread->getSystemContext()Landroid/app/ContextImpl;":
                return vm.resolveClass("android/app/ContextImpl").newObject(null);

        }

        return super.callObjectMethod(vm, dvmObject, signature, varArg);
    }

补完后,继续运行,报错如下

 

一个字,补!!!代码如下

@Override
    public DvmObject<?> getStaticObjectField(BaseVM vm, DvmClass dvmClass, String signature) {
        switch (signature) {
            case "android/os/Build$VERSION->SDK:Ljava/lang/String;":
                return new StringObject(vm, "18");
            case "android/os/Build->MANUFACTURER:Ljava/lang/String;":
                return new StringObject(vm, "Google");
            case "android/os/Build->MODEL:Ljava/lang/String;":
                return new StringObject(vm, "pixel");
        }
        return super.getStaticObjectField(vm, dvmClass, signature);
    }

继续运行, 结果如下

搞定,收工!

dng 

qq_40157234
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Unidbg调用-补环境V3-主动调用
dafan0的博客
06-29 88
*注意:**这一部分没有看见有价值的内容,复习时可略过,需要时再看。
某车联网App 通讯协议加密分析(二) Unidbg手把手跑通
fenfei331的博客
09-08 2134
unidbg补环境实际是考验你的Android编程能力。谷歌一下关键字 unidbg + 报错信息,一般都有同道趟过坑。什么?你打不开谷歌?我现在劝你改行还来得及吗?好味止园葵,大欢止稚子。平生不止酒,止酒情无喜。
unidbg实现淘宝请求参数算法,实现脱离模拟器/手机请求淘宝、闲鱼
bugtraq的博客
03-15 6194
但是,随着研究的深入,相关的学习资料越来越少,unidbg和直接逆向学习的资料,虽然有一些,但对于问题的深入,原理的解析,以及具体API方法的使用,可以说是少之又少。鱼和渔的问题,越来越尖锐了。已经研究了差不多几个月,总感觉临门一脚了,程序调试也没有完全通过。虽然越挫越勇,会继研究,但还是感觉得慢慢来,研究、学习,本身也是一场永远止境的修行。相对于直接逆向x-sign的算法而言,用unidbg调用so文件的难度要小很多。下面的代码面向的是mtop6.5.27, 代码还存在不少问题,并不能直接使用。
APP逆向 day25unidbg
最新发布
往日情怀酿作酒
08-01 1259
这一期的案例写了我很久,主要是摆烂去了,星露谷物语太好玩了,沉迷其中,不过只有几节课就完结了,争取先完结再去玩吧,明天和大家讲一下unidbg的下期,我会和大奖讲补环境稍微难的了,案例大家拭目以待吧。
Unidbg模拟执行某段子so实操教程(二) LoadSo对比
AzulSystems的博客
01-19 159
假到真时真亦假,安全对抗的时候就是比拼耐心,互相给对方挖坑埋雷。挖的坑要深点,雷要迷惑性强点。偶尔可以给对方一个甜头,让他以为搞定收工。实际后面还有千转百绕。最后谁坚持不住放弃了,谁就输了。那些花半秒钟就看透事物本质的人,和花一辈子都看不清事物本质的人,注定是截然不同的命运。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们。
安卓逆向unidbg------入参+补环境大全
云霄IT的博客
02-24 1131
【代码】安卓逆向unidbg------补环境大全。
android native call java_Android NDK学习:native 通过JNI调用java的属性跟方法
weixin_30423863的博客
03-03 340
native调用Java的普通属性Java 代码public class JniUtils {static{System.loadLibrary("JNIEnvOne");}public String name = "liu";//访问普通属性public native void modifField();}C 代码//调用普通属性JNIEXPORT void JNICALL Java_com_l...
热修复原理学习(4)冷启动加载原理,flutter路由动画
m0_65321095的博客
01-26 1616
综上可知,如果没有在加载时的verifyAndOptimizeClass()的方法打上 CLASS_ISPERVERIFIED/CLASS_ISOPTIMIZED这两个标识,则会在 的初始化时去执行的校验和优化。 由于检验的任务可以认为是很重的,因为会对的所有方法中的所有指令都做校验,单个加载时耗时并不多,但是同一个时间点加载大量的情况下,这种耗时就会被放大。所以这也是插桩给的加载效率带来比较大影响的后果。(因为这些情况都是放在第一次安装Apk的时候做的) 我们知道若采用插桩,会导致所有
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
逆向工具之unidbg(在pc端模拟执行so文件中的函数)
热门推荐
hestyle的博客
05-21 2万+
  昨天在逆向某App的时候,发现有个加密工具中的native方法是用C语言编写的,隐藏在so文件中。某大佬推荐逆向工具unidbg,能在pc端直接调用so文件中的函数,最终成功解决了问题。 逆向工具之unidbg目录一、`unidbg`引入二、`unidbg`概述三、`unidbg`使用姿势1、下载`unidbg`项目2、导入到IDEA中①、解压压缩包②、打开`IDEA`,导入解压的项目3、测试`unidbg`4、运行自己的`so`文件①、编写`EncryptUtilsJni`②、参数说明③、执行结果
unidbg的参数_逆向工具之unidbg(在pc端模拟执行so文件中的函数)
weixin_39933724的博客
12-21 932
昨天在逆向某App的时候,发现有个加密工具中的native方法是用C语言编写的,隐藏在so文件中。某大佬推荐逆向工具unidbg,能在pc端直接调用so文件中的函数,最终成功解决了问题。逆向工具之unidbg目录一、`unidbg`引入二、`unidbg`概述三、`unidbg`使用姿势1、下载`unidbg`项目2、导入到IDEA中①、解压压缩包②、打开`IDEA`,导入解压的项目3、测试`u...
安卓逆向案例——阿里系某电影票务APP加密参数还原-Unidbg
weixin_44084602的博客
09-18 5063
使用unidbg调用sgmain.so,还原x-sign等加密参数
【adcdn优化案例】某工具app广告优化收益增长275%经验分享
adcdn_X的博客
10-19 7817
截至 2020 年 3 月,工具行业用户规模保持稳定增长,其中系统工具行业月活跃用户超 过 10 亿,实用工具行业月活跃用户超过 5 亿,移动时代,网民触媒习惯更加碎片化,工具导向的 APP 虽然在多种场景下都可能会被 使用,但“用完即走”,单次使用时间短。移动互联网时代,APP 对注意力的争夺日益激烈,工具 APP 用户粘性受限,成为增长的重要问题。 A是一款记账工具app,就商业模式而言,A 应用主要采取广告变现的模式。其原自主进行广告变现,但收益瓶颈难以突破。于是,其选择了adcdn 流量商业化
Unidbg补环境实战第一篇:补环境入门
ALLEN'Blog
02-15 4771
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好了。
为什么Unidbg模拟执行的结果和主动调用的结果不同(一)
lilac的博客
06-29 4925
一、前言 前言打个广告,Unidbg有很多实操问题,文章说起来不直观而且费劲,最典型的就是怎么补JNI环境,很多朋友都补的又慢又折腾,欢迎大家私信了解七月的Unidbg课程,课程我主讲,而且由我的老板,逆向大牛R0ysue指导设计,大可放心。 除此之外,建了一个Unidbg学习交流群,纯粹的技术交流,欢迎各位大佬来玩,私聊我拉进群。 接下来进入正题,看文章标题大家也能猜到,这一篇的内容是一个新系列的开始,这并不意味着《逆向十三篇》结束了,而是Unidbg模拟执行的结果和主动调用的结果不同这个问题太过重要了,
app安全之安卓native层安全分析(二):unidbg+ida使用+过签名校验
m0_61869253的博客
02-20 1752
1.ida,按y修改JNIEnv,IDA 7.5之前,JNIEnv需要导入jni.h,7.5之后不需要导入jni.h文件2.ida,按g 输入地址跳转3.ida,按x,查看交叉引用4.ida,optional->generel,把这个改成4,可以查看架构模式,arm架构是固定4位,thumb架构是混合的!5. 有签名校验的需要去patch,patch的时候不能+1,只有运行和hook的时候才+16.setJNIload方法只有动态注册方法的时候才执行,静态注册的不用执行
unidbg入门笔记
q2919761440的博客
05-24 1267
unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。
获取手机的CPU和ABI
牛八少爷的专栏
07-10 2835
在NDK开发时有时需要设置测试的CPU和ABI版本号,就需要通过代码进行获取: String CPU_ABI=android.os.Build.CPU_ABI  
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值