滑雪大冒险内购

于 2019-05-11 16:07:55 发布
阅读量1w 收藏 4
点赞数
分类专栏: Android
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/90111034
版权

滑雪大冒险2 App内购

相信这个游戏很多人都玩过,游戏里面的道具和地图都是需要出钱购买的;而且不同平台下载的这个APP,里面道具的购买方式可能不一样,但是原理都一样;
这里的支付方式是支付宝和微信…
界面
支付方式

工具

  1. 夜神模拟器
  2. AndroidKiller_v1.3.1
  3. Apktool
  4. JEB2
  5. Monitor.exe

分析

先让夜神模拟器与monitor.exe连接,找到一些活动的名称,减少工作量:

nox_adb.exe connect 127.0.0.1:62001

然后我们点击支付按键,然后在monitor中Clear LOG,此时点击返回键取消支付,查看LOG:
Log
我们发现一个Yodo1PayHelper的可疑活动,猜测我们支付成功与否就与它有关;
在 AndroidKiller_v1.3.1中搜索这个字符串,找到文件的位置然后在jeb2中查看:
AndroidKiller_v1.3.1
看到文件位置在com\yodo1\android\sdk\helper中:
jeb2
然后我们反编译这个smali文件,发现在onResult类里面有一些关键函数:

case 2: {
    this.this$2.this$1.this$0.removeProductDatatoLocal(this.this$2.this$1.val$activity, this.this$2.this$1.val$productData);
    if(arg8 == v4) {
        YLog.i("Yodo1PayHelper,  这是已购买的商品,购买成功");
        this.this$2.this$1.this$0.purchased(1, this.this$2.this$1.val$channelPayInfo.getOrderId(), this.this$2.this$1.val$productData, this.this$2.this$1.val$payType);
        return;
    }

    this.this$2.this$1.this$0.purchased(2, this.this$2.this$1.val$channelPayInfo.getOrderId(), this.this$2.this$1.val$productData, this.this$2.this$1.val$payType);
    break;
}

发现这里有购买成功的字样;
仔细分析这个文件的内容你会发现他的业务逻辑是:
用户发起购买请求–>获取购买的商品信息–>查询订单状态–>订单状态校验成功–>提交订单状态–>购买成功
所以,我们可以修改它的流程,不管订单状态,直接返回购买成功;

修改

通过"购买成功"字符串转Unicode后查找到onResult类所在的smali文件的位置:
Yodo1PayHelper$4$1$1.smali

:goto_1
    if-ne p2, v4, :cond_5 //修改时删除

    .line 435
    const-string/jumbo v1, "Yodo1PayHelper,  \u8fd9\u662f\u5df2\u8d2d\u4e70\u7684\u5546\u54c1\uff0c\u8d2d\u4e70\u6210\u529f"

    invoke-static {v1}, Lcom/yodo1/sdk/kit/YLog;->i(Ljava/lang/String;)V

    .line 436
    iget-object v1, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;

    iget-object v1, v1, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;

    iget-object v1, v1, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->this$0:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper;

    iget-object v2, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;

    iget-object v2, v2, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;

    iget-object v2, v2, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$channelPayInfo:Lcom/yodo1/sdk/adapter/entity/ChannelPayInfo;

    invoke-virtual {v2}, Lcom/yodo1/sdk/adapter/entity/ChannelPayInfo;->getOrderId()Ljava/lang/String;

    move-result-object v2

    iget-object v3, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;

    iget-object v3, v3, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;

    iget-object v3, v3, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$productData:Lcom/yodo1/android/sdk/helper/ProductData;

    iget-object v4, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;

    iget-object v4, v4, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;

    iget-object v4, v4, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$payType:Lcom/yodo1/android/sdk/constants/PayType;

    invoke-virtual {v1, v5, v2, v3, v4}, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper;->purchased(ILjava/lang/String;Lcom/yodo1/android/sdk/helper/ProductData;Lcom/yodo1/android/sdk/constants/PayType;)V

    goto/16 :goto_0

然后这段就是购买成功的smali代码了,所以只要我们在开始的位置加一个goto/16 :goto_1,并且把if-ne p2, v4, :cond_5这句删除了,那么我们在购买东西是就可以绕过检测了:
修改

最后Apktool编译,然后签名安装就可以了…

效果

购买成功
点击购买,然后取消可以了…

总结

Android逆向的难点主要在于麻烦与类的复杂,需要不断的编译签名安装运行验证…

钞sir
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值