重打包并通过java api hook来使签名失效的工具demo分析

最新推荐文章于 2024-03-05 20:35:51 发布
最新推荐文章于 2024-03-05 20:35:51 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: android安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangsilian/article/details/79623594
版权

0x00 背景

偶然在github上看到有人star了这个 https://github.com/xxxyanchenxxx/SigKill/blob/master/README.md
功能:一键绕过App签名验证。实现原理是Hook了PackaegManager,返回我们指定的签名。

0x01 代码分析

实现手段就是重打包注入smali代码,hook应用内的签名校验方法。返回我们指定的签名。

-1.0 通过keytool正常签名的获取方式:

C:\Users\Desktop                                                             
λ keytool -list -printcert -jarfile  android.helper.system-1.apk   
签名者 #1:                                                                                                               

签名:                                                                                                                   

所有者: CN=Android Debug, O=Android, C=US                                                                                
发布者: CN=Android Debug, O=Android, C=US                                                                                
序列号: 1916b385                                                                                                         
有效期开始日期: Tue Jan 13 22:26:20 GMT+08:00 2015, 截止日期: Wed Jan 13 22:26:20 GMT+08:00 2016                                 
证书指纹:                                                                                                                 
         MD5: 60:C9:08:38:FC:FA:2F:00:CE:88:7E:83:DC:23:56:E1                                                         
         SHA1: 41:74:6C:63:3F:DF:51:47:EC:FD:A4:A9:EF:E0:AE:38:49:4D:29:57                                            
         SHA256: 54:79:FE:95:87:2B:03:4B:06:35:FA:C9:14:E6:73:7A:0C:4A:A5:36:5E:15:9A:4D:6B:8A:84:9C:DB:2B:77:5B      
         签名算法名称: SHA256withRSA                                                                                        
         版本: 3                                                                                                        

扩展:                                                                                                                   

#1: ObjectId: 2.5.29.14 Criticality=false                                                                             
SubjectKeyIdentifier [                                                                                                
KeyIdentifier [                                                                                                       
0000: 87 57 7B B4 E1 23 98 73   B2 6F 67 A2 CC CA 92 C7  .W...#.s.og.....                                             
0010: F6 77 84 BE                                        .w..                                                         
]                                                                                                                     
]                                                                                                                     



C:\Users\Desktop                                                                   
λ echo  41:74:6C:63:3F:DF:51:47:EC:FD:A4:A9:EF:E0:AE:38:49:4D:29:57 | sed 's/://g' | tr '[:upper:]' '[:lower:]'       
 41746c633fdf5147ecfda4a9efe0ae38494d2957
  • 1.1我们先看看android程序是如何获取自身签名的:
/** 
 * 通过packageInfo.signatures获取app签名
 */  
public String getSignMd5Str() {  
    try {  
        PackageInfo packageInfo = mActivity.getPackageManager().getPackageInfo(mActivity.getPackageName(), PackageManager.GET_SIGNATURES);  
        Signature[] signs = packageInfo.signatures; 
        Signature sign = signs[0];  
        String signStr = encryptionMD5(sign.toByteArray());  
        return signStr;  
    } catch (PackageManager.NameNotFoundException e) {  
        e.printStackTrace();  
    }  
    return "";  
}
  • 1.2我们从其注入的初试代码开始分析

第三步:在App的Application的attachBaseContext()函数中调用这行smali代码即可
smali: invoke-static {}, Lcom/yc/pm/SignatureKill;->kill()V


public class SignatureKill {
    public static void kill() {
        try {
            WebViewUpdateServiceStub.replaceService();
        }catch (Exception e){
            e.printStackTrace();
        }
        try {
            PackageManagerStub.replaceService();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

可以看到关键的函数就两个
WebViewUpdateServiceStub.replaceService();和 PackageManagerStub.replaceService();

package com.yc.pm;

import android.content.pm.PackageInfo;
import android.os.IBinder;
import android.os.IInterface;
import android.util.Log;

import java.lang.reflect.Method;

/**
 * Created by yanchen on 18-1-28.
 */

public class PackageManagerStub extends MethodInvocationProxy<MethodInvocationStub<IInterface>> {
    private static String SERVICE = "package";

    public PackageManagerStub() {
        super(new MethodInvocationStub<>(getInterface()));
        init();

    }

    public static void replaceService(){
        PackageManagerStub serviceStub = new PackageManagerStub();
    }

    private static IInterface getInterface(){
        Object service =  Reflect.on("android.os.ServiceManager").
                call("getService",SERVICE).get();

        IInterface asInterface =  Reflect.on("android.content.pm.IPackageManager$Stub").call("asInterface",service).get();
        return asInterface;
    }

    private static IBinder getBinder(){
        return Reflect.on("android.os.ServiceManager").
                call("getService",SERVICE).get();
    }

    private void init(){
        addMethodProxy(new PackageManagerStub.GetPackageInfo());
        getBinder();

        try {
            BinderInvocationStub pmHookBinder = new BinderInvocationStub(getInvocationStub().getBaseInterface());
            pmHookBinder.copyMethodProxies(getInvocationStub());
            pmHookBinder.replaceService(SERVICE);
        }catch (Exception e){
            e.printStackTrace();
        }

        IInterface hookedPM = null;
        try {
            hookedPM = getInvocationStub().getProxyInterface();
            Object o = Reflect.on("android.app.ActivityThread").set("sPackageManager",hookedPM);
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    private static class GetPackageInfo extends MethodProxy {
        @Override
        public String getMethodName() {
            return "getPackageInfo";
        }

        @Override
        public Object call(Object who, Method method, Object... args) throws Throwable {
            PackageInfo result =  (PackageInfo)method.invoke(who,args);
            if(result != null){
                result.signatures = SignatureFake.getSignature();
            }
            return result;
        }
    }
}

可以看到通过反射替换来hook签名 packageInfo.signatures的值。

总结:这类重打包注入代码的行为入侵性太强。如果能用VrituaApp 在VA的框架下进行hook。效果会好很多。

参考

https://www.jianshu.com/p/4f6d20076922 理解 Android Hook 技术以及简单实战
http://blog.csdn.net/manymore13/article/details/50717622 获取apk签名信息

tangsilian
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android中带你开发一款自动爆破签名校验工具kstools
尼古拉斯.赵四的博客
02-08 1600
一、技术回顾 为了安全起见,一些应用会利用自身的签名信息对应用做一层防护,为了防止应用被二次打包操作,在之前已经介绍了很多关于应用签名校验爆破的方法,一条基本原则不能忘:全局搜索”signature”字符串,这里可以在Jadx打开apk搜索,也可以在IDA中打开so搜索都可以。找到这信息之后可以手动的修改校验逻辑,但是这个法则有个问题,就是如果一个应用在代码中很多地方都做了签名校验,比如以前介绍...
KeyTool IUI v2.3
08-31
用于生成,转换,查看JAVA SSL证书的GUI工具。 **** REQUIREMENTS **** JRE (Java Runtime Environment 1.6), or higher
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3796
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
Android签名校验去除 PMSHook升级版
m0_47587308的博客
01-01 2075
拦截PackageInfo的创建过程,判断是否为目标程序,然后对生成的PI对象的signatures字段进行替换,即可完成签名校验的通过。使用方法:在软件入口处的构造函数中或者静态初始化去除调用KillPM函数即可,传入的参数第一个是包名,第二个是签名的charString。基本上可以绕过所有使用安卓自身API进行的校验,和之前的PMS代理不同,这种方式刚刚出现,被针对的少,因此过签强度更高。
HOOK技术六-LoadedApk式插件化代码实现
吓成一坨兔子
12-30 690
/** * 自己创造一个LoadedApk.ClassLoader 添加到 mPackages,此LoadedApk 专门用来加载插件里面的 class */ private void customLoadedApkAction() throws Exception { File file = new File(Environment.getExter...
APIhook.zip_API_DEMO_delphi_delphi apihook_hook
09-21
APIhook.zip_API_DEMO_delphi_delphi apihook_hook 演示了在Delphi编程环境中如何实现API钩子(API Hook)技术。API钩子是一种系统级别的编程技巧,允许开发者拦截并修改其他进程调用系统API的行为。在Delphi中,...
API Hook 相关demo
01-16
本示例主要探讨如何通过Windows挂钩来实现DLL注入,这是一种常见的API Hook技术。 在Windows操作系统中,挂钩(Hook)是一种机制,可以监控系统事件,如消息处理、键盘输入等。API Hook是挂钩技术的一个特例,它...
java hook demo
04-09
首先,Java HookJava语言中的一个概念,它通过Java反射API和动态代理来实现对程序运行时行为的干预。Java反射API允许我们在运行时检查类、接口、字段和方法的信息,甚至可以改变其行为。动态代理则是在运行时创建...
API Hook 工具相关代码 apihooktest.rar_API_APIHOOK_api hook_apihooktest
09-21
通过分析代码,我们可以更深入地理解API Hook的工作原理及其在实际项目中的应用。 在研究API Hook时,安全性和权限管理是两个要的话题。不正确的Hook可能会导致程序崩溃或其他不可预测的行为,因此开发者需要谨慎...
jnativehook_java键盘钩子_hookapi_jnativehook_
10-04
标题中的“jnativehook_java键盘钩子_hookapi_jnativehook”指的是Java中使用JNativeHook库来实现系统级键盘钩子的功能。JNativeHook是一个开源的Java库,它允许开发者在本地平台上设置全局键盘和鼠标事件监听器,而...
易语言APIHOOK demo
03-09
本文将深入探讨"易语言APIHOOK demo"的相关知识点,并分析其在实际开发中的应用。 首先,API Hook的基本原理是替换目标函数的入口地址,使得原本调用的目标函数被我们自定义的函数所替代。在"易语言APIHOOK demo"中...
demo.rar_DEMO_hookapi 封包_防火墙_防火墙delphi
09-23
网络封包拦截HOOKAPI,可以用于防火墙。
apihook.rar_APIHOOK_api hook_hook api
09-14
2. **安全分析**:逆向工程师可能会使用API Hook来监控恶意软件的行为,找出其与系统关键API的交互。 3. **性能监控**:通过挂钩性能敏感的API,可以收集有关应用程序性能的数据,以便优化代码。 4. **功能扩展**:...
基于C++ APIHOOK的软件行为分析系统源码+全部资料齐全.zip
最新发布
05-13
基于C++ APIHOOK的软件行为分析系统源码+全部资料齐全.zip基于C++ APIHOOK的软件行为分析系统源码+全部资料齐全.zip 【备注】 1、该项目是个人高分项目源码,已获导师指导认可通过,答辩评审分达到95分 2、该资源内...
VB如何拦截API调用.apihook钩子
03-28
在VB(Visual Basic)编程中,API Hook是一种技术,它允许开发者拦截系统API(应用程序接口)的调用,以便在调用前后执行...通过分析这些文件,开发者可以深入理解API Hook的工作原理,并将其应用到自己的项目中。
安卓packageinfo的知识点
xueyoubangbang的博客
06-08 2747
PackageInfo类包含AndroidManifest.
使用JDK 13查看TLS配置
最佳 Java 编程
06-12 840
JDK 13 Early Access Build 16现在可用,它带来的有趣的功能之一是能够使keytool命令行工具显示当前系统的TLS配置信息 。 这比尝试在单独的文档中查找受支持的TLS信息并使该信息与某个人的JDK供应商和版本容易得多。 要查看JDK 13 Early Access Build 16的TLS配置详细信息,只需在命令行中输入keytool -showinfo -t...
如何查看v1 v2 v3 签名包的签名信息
Lighthouse
11-24 5389
apk签名方案 - v1 方案:基于 JAR 签名。 - v2 方案:APK 签名方案 v2,在 Android 7.0 引入。 - v3 方案:APK 签名方案v3,在 Android 9.0 引入。
ApkSignatureKillerEx: Android APK签名杀手加强版
gitblog_00005的博客
03-05 688
ApkSignatureKillerEx: Android APK签名杀手加强版 ApkSignatureKillerEx是一个开源的Android应用工具,用于删除APK文件中的签名信息。它可以帮助开发者、安全研究人员和普通用户更好地理解APK文件的工作原理,并提供了一种修改APK而不破坏其功能的方法。 使用场景 逆向工程:使用ApkSignatureKillerEx可以轻松地去除APK文件中...
Windows API Hook技术:全局HOOK MessageBox示例
"HOOKAPI(三)——HOOK所有程序的MessageBox" 在Windows编程中,HOOKAPI是一种技术,允许开发者拦截和修改系统或应用程序的特定函数调用。本实例着讲解如何HOOK MessageBox API,即无论哪个程序调用MessageBoxA...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值