对某APP内的道具购买进行破解
学习笔记三:对一款存在道具、关卡内购的APP进行破解使其道具、关卡购买免费化
一、将该未进行处理的APP通过模拟器安装使用
通过安装后的使用(购买其中的道具)发现该APP总体上通过手机发送短信的付费的方式进行支付操作。第二张图又说明在支付逻辑中存在验证码的验证。
二、利用Android KILLer 对其进行反编译
1、首先解决验证码的验证失败。
首先猜想是否存在这样的逻辑:判断APP是否存在短信的行为,有则进入验证码判断,无则跳出——验证:禁止该APP的短信发送权限(在AndroidManifest.xml中删除对应的权限,由下图可知该APP设置了两处短信发送权限[android.permission.SEND_SMS])
2、将1中问题解决后打包安装,发现成功解决短信验证问题但并未实现免费内购。
重新查看反编译后工程。查看strings.xm文件定位关键词(支付、购买、成功、失败等等)——未通过相关关键词找到购买逻辑。
猜想其关键词直接写在代码中——通过工程搜索关键词的文本以及unioncode编码成功找到其购买逻辑。
同归jd-jui查看其java源文件可以清晰的看到其购买方法
public void payResultFalse()
{
this.psif.doPayFalse(payId);
this.paysuss = false;
Printlog("zhifu false");
this.falseTime += 1;
showDebug("购买失败");
if ((this.falseTime == 2) && (MessageUtil.getInstance().ADOpen == 2) && (adf != null))
{
adf.init(this.context, this);
showDebug("购买失败两次开启广告");
}
if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0")) && (getPayT() == 0)) {
osif.pay();
}
}
public void payResultSuccess()
{
float f1 = Float.valueOf(RecordOpreate.getInstance().getData(RecordOpreate.totalMoey)).floatValue();
if ((f1 < MessageUtil.getInstance().limitMoney) && (this.payCodeMoney + f1 >= MessageUtil.getInstance().limitMoney)) {
toastShow("恭喜您达到消费上限,自动开通尊享VIP,您可以免费购买任何道具");
}
float f2 = this.payCodeMoney;
RecordOpreate.getInstance().saveData(RecordOpreate.totalMoey, f1 + f2);
this.psif.doPaySuccess(payId);
this.paysuss = true;
this.statPtime = System.currentTimeMillis();
System.out.println("dpv111111111" + this.dpv.size());
int i = 0;
for (;;)
{
if (i >= this.dpv.size())
{
System.out.println("dpv2222222222222" + this.dpv.size());
this.falseTime = 0;
if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0"))) {
this.migfalseTime = 0;
}
showDebug("购买成功");
return;
}
DialogPay localDialogPay = (DialogPay)this.dpv.get(i);
localDialogPay.dismiss();
this.dpv.remove(localDialogPay);
i += 1;
}
}
在通过搜索其方法调用的中,还发现了以下调用
public void onResult(int paramAnonymousInt, String paramAnonymousString, Object paramAnonymousObject)
{
lqap.dd(paramAnonymousInt, paramAnonymousString);
MiGuSdkPay.this.Printlog("onResult" + paramAnonymousObject + "billingIndex" + paramAnonymousString + "resultCode" + paramAnonymousInt);
switch (paramAnonymousInt)
{
default: 。
MiGuSdkPay.this.payResultCancel();
return;
case 1:
MiGuSdkPay.this.payResultSuccess();
return;
}
MiGuSdkPay.this.payResultFalse();
}
3、定位关键点后进行修改
在对payResultSuccess与payResultFalse修改时,可以:
1)、将payResultFalse中的方法替换成payResultSuccess中的方法
2)、可以将自己编写一个invoke-virtual方法调用payResultSuccess方法来替换payResultFalse中的smali代码,并在最后加上return-void来进行返回。
在对onResult进行修改时,可以将switch中的几个方法调用全更改为payResultSuccess
4、对修改后的工程进行编译
将修改后的APK进行安装运行,点击购买弹出支付失败,但是点击确定后道具任然购买成功。至此在该APP上实现免费内购。