xposed 修改参数_【Android 原创】2020春节红包第三题Xposed框架Hook的应用

最新推荐文章于 2024-09-16 21:30:06 发布

weixin_39608457

最新推荐文章于 2024-09-16 21:30:06 发布

阅读量810

点赞数

文章标签： xposed 修改参数 xposed框架

作者论坛账号：CrazyNut

准备工具以及思路

首先不了解Xposed框架Hook的可以看看大佬的基础教程 - 《教我兄弟学Android逆向12 编写xposed模块》

本文不需要会看懂汇编代码，当你看完上面的文章，学会Xposed框架Hook的简单应用后。
就算是从未接触过的萌新跟着流程一会就能搞定，一起来动手吧！

准备工具

1.Android Studio - 以及Xposed框架环境 - 有关Xposed框架环境的搭建和编译在上述帖子都有，我就不在赘述
2.DDMS - 用于查看打印出来的日志信息，有Android Studio配套就有
3.dex2jar - 用于将Dex文件还原为jar
4.jd-gui - 用于查看jar包的java代码
5.IDA - 用于查看So文件代码
6.一款可以打开Apk的压缩软件
7.一个装有Xposed环境的安卓模拟器或者手机

思路

1.首先将APK的dex还原为jar后，可以用jd-gui查看java代码
2.后面可以发现关键代码都在So文件内[剧透] ，然后用IDA打开So文件，找到对应的关键函数
3.加以以分析Hook某关键函数后直接出结果

查看APK的java代码

Dex还原为jar

用压缩软件打开APK可以看到classes.dex文件

将其解压并扔到dex2jar的根目录下，运行 DexToJar.bat

即可把dex文件还原为Jar

上图红框则是我们需要的文件

用Jd-gui查看java代码

然后将其直接拖入jd-gui即可看到java代码

CM代码很少，很容易看到入口函数MainActivity里的代码
这段java代码里面没有任何关键的代码
有一点点安卓基础就看的出来，APK引用了一个叫libcrack_j2c的so文件，所以可以判断关键代码全在so里面

而且作者方法名都明说了是checkFlag。。 可以看到参数时一个String 肯定是传入的相关flag 返回值也是个bool值，肯定是关键函数咯当然 因为按钮只有一个  搜OnClick也是一样的，从按钮事件入手。

所以直接上IDA分析so文件找到checkFlag或者OnClick这个函数。

IDA查看so文件

定位到关键函数代码 - 方法 1.字符串大法好

直接找到
验证错误，继续加油
一步到位，香的不行
我的IDA版本暂时搜不了字符串，后面补上。。

定位到关键函数代码 - 方法 2.直接搜方法名

上面说到了作者已经明确的告诉了checkFlag和onclick了这函数了。。明摆着就是关键函数。
所以在so文件没被混淆的情况下，可以直接用IDA打开So文件，搜索方法 checkFlag 或者 onclick

IDA中直接拖入so载入后，在Functions Window 按ctrl+f直接搜方法名一步到位

不过这里是不推荐用这个方法的。。因为就算So文件没被混淆
正常项目代码量巨大。。根本不知道谁是谁。。。不容易直接一眼就看出来的情况下
这个方法无疑大海捞针，所以下面介绍另一种方法

定位到关键函数代码 - 方法 3.Xposed框架Hook打印堆栈

这里就需要用到Xposed框架来Hook了，还不会请先看上方基础教程

这里直接贴上一段代码 - 《利用Xposed Hook打印Java函数调用堆栈信息的几种方法》

具体思路是：既然按了验证按钮后有土司 提示长度不够，那我直接Hook Toast()这个方法 看看什么调用了他，不就可以找到点击事件了？
虽然对这题有点脱了裤子放屁。。。不过这也是一种思路吧

自己修改对应包名后变成如下

 findAndHookMethod("android.widget.Toast",    //要hook的包名+类名
                lpparam.classLoader,                                //classLoader固定"makeText",                        //要hook的方法名// 方法参数 没有就不填
                Context.class,
                CharSequence.class,int.class,new XC_MethodHook() {@Overrideprotected void beforeHookedMethod(MethodHookParam param) throws Throwable {//方法执行前执行
                        Log.i("Nut", "NutHookToast:" + param.args[1].toString());
                    }protected void afterHookedMethod(MethodHookParam param) throws Throwable {//方法执行后执行,改方法的返回值一定要在方法执行完毕后更改// 方法一:
                        Log.i("Dump Stack: ", "---------------start----------------");
                        Throwable ex = new Throwable();
                        StackTraceElement[] stackElements = ex.getStackTrace();if (stackElements != null) {for (int i = 0; i < stackElements.length; i++) {
                                Log.i("Dump Stack"+i+": ", stackElements[i].getClassName()
                                        +"----"+stackElements[i].getFileName()
                                        +"----" + stackElements[i].getLineNumber()
                                        +"----" +stackElements[i].getMethodName());
                            }
                        }
                        Log.i("Dump Stack: ", "---------------over----------------");
                    }
                }
        );

Hook后进去随便按一下验证按钮得到日志如下

可以看出只有一个包名为 com.wuaipojie.crackme01 的方法被调用正是onclick的按钮事件。
然后用方法2直接IDA搜方法就可以了

简单分析函数代码

按钮OnClick事件方法

这里先从按钮事件开始

搜索onclick找到函数后，汇编代码是看不懂的。。。所以直接按F5查看伪代码，一起就清晰了起来

下面是代码

int __fastcall Java_com_wuaipojie_crackme01_MainActivity_onClick__Landroid_view_View_2(int a1, int a2, int a3){int *v3; // r4int v4; // r5int v5; // r9int v6; // r0int v7; // r5int (__fastcall *v8)(int *, void *); // r2int v9; // r6int v10; // r8int v11; // r6int v12; // r8int v13; // r5int v14; // r5void *v15; // r1int v16; // r6int v17; // r5int result; // r0int v19; // [sp+Ch] [bp-6Ch]int v20; // [sp+10h] [bp-68h]int v21; // [sp+14h] [bp-64h]int v22; // [sp+18h] [bp-60h]int v23; // [sp+1Ch] [bp-5Ch]int v24; // [sp+20h] [bp-58h]int v25; // [sp+24h] [bp-54h]int v26; // [sp+28h] [bp-50h]int v27; // [sp+2Ch] [bp-4Ch]int v28; // [sp+30h] [bp-48h]int v29; // [sp+34h] [bp-44h]int v30; // [sp+38h] [bp-40h]int v31; // [sp+3Ch] [bp-3Ch]int v32; // [sp+40h] [bp-38h]int v33; // [sp+48h] [bp-30h]int v34; // [sp+50h] [bp-28h]int v35; // [sp+58h] [bp-20h]
  v3 = (int *)a1;
  v4 = a3;
  v31 = 0;
  v29 = 0;
  v30 = 0;
  v27 = 0;
  v28 = 0;
  v25 = 0;
  v26 = 0;
  v23 = 0;
  v24 = 0;
  v21 = 0;
  v22 = 0;
  v19 = 0;
  v20 = 0;
  v5 = (*(int (__fastcall **)(int, int))(*(_DWORD *)a1 + 100))(a1, a2);
  v6 = (*(int (__fastcall **)(int *, int))(*v3 + 100))(v3, v4);if ( !v5 )goto LABEL_38;
  v7 = v6;if ( sub_539C(v3, &v31, &v26, 0, "com/wuaipojie/crackme01/MainActivity", "editText", "Landroid/widget/EditText;") )goto LABEL_39;
  v9 = (*(int (__fastcall **)(int *, int, int))(*v3 + 380))(v3, v5, v26);if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )goto LABEL_39;if ( v7 )
    (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v7);if ( !v9 )goto LABEL_38;if ( !v25 && sub_5288(v3, &v30, &v25, 0, (int *)"android/widget/EditText", "getText") )goto LABEL_39;
  v10 = (*(int (__fastcall **)(int *, int))(*v3 + 144))(v3, v9);                 //获取输入框中的文本 存到v10中if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )goto LABEL_39;
  (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v9);if ( !v10 )goto LABEL_38;if ( !v24 && sub_5288(v3, &v29, &v24, 0, (int *)"java/lang/Object", "toString") )goto LABEL_39;
  v11 = (*(int (__fastcall **)(int *, int))(*v3 + 144))(v3, v10);               //v10 tostring一下 存到 v11if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )goto LABEL_39;
  (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v10);if ( !v11 )goto LABEL_38;if ( !v23 && sub_5288(v3, &v28, &v23, 0, (int *)"java/lang/String", "trim") )goto LABEL_39;
  v12 = (*(int (__fastcall **)(int *, int))(*v3 + 144))(v3, v11);              //v11 再trim一次 存到 v12if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )goto LABEL_39;
  (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v11);if ( !v12 )goto LABEL_38;if ( !v22 && sub_5288(v3, &v28, &v22, 0, (int *)"java/lang/String", "length") )goto LABEL_39;
  v13 = (*(int (__fastcall **)(int *, int))(*v3 + 204))(v3, v12);             //获取v12的长度 存到 v13 if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )                       //【其实上面的一堆就是获取了你输入的flag的长度】goto LABEL_39;if ( v13 == 30 )                                  //这里判断 v13 是否为 30  也就是判断flag长度是否为30   
  {//如果长度正确 则进入下面 checkflag的判断流程if ( !v21 && sub_5288(v3, &v31, &v21, 0, (int *)"com/wuaipojie/crackme01/MainActivity", "checkFlag") )goto LABEL_39;
    v32 = v12;
    v14 = (*(int (__fastcall **)(int *, int))(*v3 + 156))(v3, v5);if ( (*(int (__fastcall **)(int *))(*v3 + 912))(v3) )goto LABEL_39;
    (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v12);
    v8 = *(int (__fastcall **)(int *, void *))(*v3 + 668);if ( !v14 )goto LABEL_40;
    v15 = &unk_22047;
  }else
  {
    (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v12);
    v15 = &unk_2211B;
    v8 = *(int (__fastcall **)(int *, void *))(*v3 + 668);
  }while ( 1 )
  {
    v16 = v8(v3, v15);if ( v20 || !sub_5288(v3, &v27, &v20, 1, (int *)"android/widget/Toast", "makeText") )
    {
      v33 = v16;
      v32 = v5;
      v34 = 0;
      v17 = (*(int (__fastcall **)(int *, int))(*v3 + 464))(v3, v27);if ( !(*(int (__fastcall **)(int *))(*v3 + 912))(v3) )
      {if ( v16 )
          (*(void (__fastcall **)(int *, int))(*v3 + 92))(v3, v16);if ( v17 )
        {if ( v19 || !sub_5288(v3, &v27, &v19, 0, (int *)"android/widget/Toast", "show") )
          {
            (*(void (__fastcall **)(int *, int))(*v3 + 252))(v3, v17);
            (*(void (__fastcall **)(int *))(*v3 + 912))(v3);
          }
        }else
        {
LABEL_38:
          sub_4EC0(v3, "java/lang/NullPointerException", "NullPointerException");
        }
      }
    }
LABEL_39:
    result = _stack_chk_guard - v35;if ( _stack_chk_guard == v35 )break;
LABEL_40:
    v15 = &unk_220FF;
  }return result;
}

上面代码已经备注了
可以看到flag 长度要为 30 【欸！这不是废话吗，已经提示了好不】
就会把flag传入 checkflag这个方法进行判断

所以接下来是 checkflag 这个方法

checkflag方法

和上面同样的方法找到这个方法后F5一下直接看伪代码

这一段代码就算是F5的伪代码算法部分我不是很看得懂。。连蒙带猜的做的吧。。
坐等大佬们更详细的分析过程噢，这里说一下我的思路。

因为看不懂具体代码了，所以我考虑从Hook函数中所调用的方法入手

看了几遍后发现函数最下方的代码部分最可疑

可以看到一次调用了 ToString substring equals方法

之前在看到flag是30位的时候
我就一直在猜想，似乎没有什么加密是30位的啊？？ 所以估计是密钥加密后进行了切割。

这三个函数应该就认证了我的猜想。

上面的一堆函数估计是对密钥进行加密toString 之后 马上用 SubString 进行切割
最后用equals方法比较。。。
所以我决定把这三个函数全部Hook打印结果
以上只是猜想，有理解错误的地方请多指正

见证奇迹的Hook

最后Hook的结果证实对 SubString 的 Hook 确实有用 [剧透]
所以下面只上对 substring 这个方法Hook 的函数

      findAndHookMethod("java.lang.String",    //要hook的包名+类名
                lpparam.classLoader,                                //classLoader固定"substring",                        //要hook的方法名// 方法参数 没有就不填int.class,int.class,new XC_MethodHook() {@Overrideprotected void beforeHookedMethod(MethodHookParam param) throws Throwable {//方法执行前执行
                       Log.i("Nut", "substringA 参数A:" + param.args[0]+"参数B:"+param.args[1]);
                    }protected void afterHookedMethod(MethodHookParam param) throws Throwable {//方法执行后执行,改方法的返回值一定要在方法执行完毕后更改
                       Log.i("Nut", "substringA:" + param.getResult());
                    }
                }
        );//因为substring有两种重载 所以我无脑一起hook了。。
        findAndHookMethod("java.lang.StringBuilder",    //要hook的包名+类名
                lpparam.classLoader,                                //classLoader固定"substring",                        //要hook的方法名// 方法参数 没有就不填int.class,new XC_MethodHook() {@Overrideprotected void beforeHookedMethod(MethodHookParam param) throws Throwable {//方法执行前执行
                        Log.i("Nut", "substringB 参数A:" + param.args[0]);
                    }protected void afterHookedMethod(MethodHookParam param) throws Throwable {//方法执行后执行,改方法的返回值一定要在方法执行完毕后更改
                        Log.i("Nut", "substringB:" + param.getResult());
                    }
                }
        );

随便输一个30位的flag之后验证当当当当出来了

Log如下

02-09 04:00:34.060: I/Nut(2098): Already Find Methed02-09 04:00:34.062: I/Nut(2098): substringA 参数A:1参数B:3102-09 04:00:34.062: I/Nut(2098): substringA:ed61f6308c74bcf35c71729d4db24c02-09 04:00:34.062: I/Nut(2098): NutHookToast:验证错误，继续加油

可以看到确实是32位的加密截取了中间的 1-31位
结果也直接就打印出来了！！最后的equals也就是做了一个字符串比较而已。

本题也就此解开！完结撒花~