第69天 APP攻防-反编译&查壳脱壳&重打包签名&修改次数会员版权限制
知识点:
1、APP防代理绕过-应用&转发
2、APP证书校验类型-单向&双向
3、APP证书校验绕过-Frida&XP框架等
章节点:
1、信息收集-应用&资产提取&权限等
2、漏洞发现-反编译&脱壳&代码审计
3、安全评估-组件&敏感密匙&恶意分析
核心点:
0、内在点-资产提取&版本&信息等
1、抓包点-反代理&反证书&协议等
2、逆向点-反编译&脱壳&重打包等
3、安全点-资产&接口&漏洞&审计等
演示案例:
反编译加固-自动查壳脱壳
功能修改-反编译&次数&会员
功能修改-反编译&图标&信息
打包编译证书签名&重打包等
反编译加固-自动查壳脱壳
https://github.com/CodingGay/BlackDex
查壳:ApkScan-PWD
脱壳:BlackDex
#功能修改-反编译&次数&会员
贵妃APP实战:
思路:功能每日观看次数处尝试修改手机型号、IEMI值可绕过次数限制
修改get_is_svip为1,使得用户默认为svip
-次数:
逻辑:修改手机型号
.method public getRe_today_view_times(Ljava/lang/String;
.locals 1
.line 307
iget-object vo,po,Lcom/ufozfnxzqm/dvbphwfo/entity/Userlnfo;-
re_today_view_times:Ljava/lang/String;
会员:
.method public getls_vip()I
.locals 1
.line 347
.iget vo,p0,Lcom/ufozfnxzqm/dvbphwfo/entity/Userlnfo;->is vip:I
const/4 vo.0x
return vo
.end method
功能修改-反编译&图标&信息
使用安卓修改大师修改图标和信息,还可以修改app权限获取收集通讯录等