![54c219778d6df5fabeb1c1251c6b7198.png](https://i-blog.csdnimg.cn/blog_migrate/ada8c7edbd767d9409b522188b3c0e9a.jpeg)
>>>>
1、反调试
它是带反调试的,使用x64dbg启动,会直接带调试器一起退出,添加了两项后,可以继续:
SharpOD : anti_anti_debug
x64dbg : 获取调试权限
>>>>
2、静态分析
在启动的时候,会出现异常:
![4db753df7139e01174ece1e6704968ad.png](https://i-blog.csdnimg.cn/blog_migrate/d4ea6ddba8f1944b168fbabb91c991eb.png)
![5bdff32c7be21eae92b5c16fc55f2b64.png](https://i-blog.csdnimg.cn/blog_migrate/592443b42a287c02275ec300bd2f15b3.png)
![5a369d2066b97634e69a62436f4db234.png](https://i-blog.csdnimg.cn/blog_migrate/8e0fa494de9bef572d11e1fba9772ccc.png)
先把这部分bypass后再看看功能,发现启动还是有广告。
sub_4C7C50(_DWORD *this)+--->show_root_window_sub_4D1930(__m128i *this) ## 初始化函数,不能去掉 +--->sub_448D30() +---> sub_449010()
查看网络数据信息:
![9ef105622ca8456f560d1a9e249d4fcc.png](https://i-blog.csdnimg.cn/blog_migrate/47d73b683d8b6835ad46eff7778c12f3.png)
![d1589284b83162aa7d631f55efbfbb34.png](https://i-blog.csdnimg.cn/blog_migrate/50f08319e58965fda25af29021108097.png)
utility::CHttpDownloader::download2memutility::CHttpDownloader::waitForutility::CHttpDownloader::start
因为测试show_root_window_sub_4D1930函数不能被bypass,但是它是主要的加载位置,而且广告也是在它内部加载的,所以考虑从它内部进行分析。
功能去除
>>>>
1、启动去广告patch
show_root_window_sub_4D1930{ ... if ( sub_444BB0(&dword_5F8EF0, v48) ) // Bypass点,验证去掉了启动广告。 { v49 = *(_DWORD **)(v47 + 1372); v50 = v49[3]; if ( v50 ) { if ( v50 != 2 ) { LABEL_54: v52 = sub_518A50((_DWORD *)(v47 + 44), (int)L"loadingbk_hImage"); ... } ... }
>>>>
2、启动去掉HTTP外部请求
从请求数据可以发现它进行了很多远端操作,包括统计信息发送,版本检测等等,需要把这些全干掉;从API监控分析:![0c173192936b4cf12d6acdcf4307fd02.png](https://i-blog.csdnimg.cn/blog_migrate/a68d2393c066c7011d703aef6a56d1f9.png)
![3ee622b255ac377b89e1e50f1366783e.png](https://i-blog.csdnimg.cn/blog_migrate/300c8340a2099ab92273c13aaab13866.png)
![393b46413639db9a09eef6323fa7776a.png](https://i-blog.csdnimg.cn/blog_migrate/594c2ecc3477bc4a92eb02773cc79d2b.png)
![85df9fbc9bc25f20f9a6b8aa7fff986e.png](https://i-blog.csdnimg.cn/blog_migrate/564074f7aed73dd5423bd6dbb182a901.png)
![c4b2319ea1c814bf9a8019c9336b607d.png](https://i-blog.csdnimg.cn/blog_migrate/e8fb685882b07b81282c6338bd3f2d03.png)
但是Patch不太容易,dnutility.dll是一个模块,可以去看看这个HTTP函数处理:
![49c9e5d9333cdc74fb013b9628ef1841.png](https://i-blog.csdnimg.cn/blog_migrate/0f79fef82f6bcf471f2cce44abeaa4f4.png)
![9e0f4d2c60865d9a5bc8f1fea65eb800.png](https://i-blog.csdnimg.cn/blog_migrate/dcc123fa8ddd2510ed3ec0c1a1a5a0b8.png)
>>>>
3、去掉窗口下的固定广告
![c3700cc262fafe9bbdc247285cfa5b99.png](https://i-blog.csdnimg.cn/blog_migrate/90e47c9df65d211d0d5e24669dd2c5f9.png)
system.vmdk 963.4MB NTFS
data.vmdk 128GB NTFS
sdcard.vmdk 128GB NTFS
[root@localhost ~]# mkdir /tmp/android[root@localhost ~]# cd /tmp/andorid[root@localhost andorid]# mkdir system1 system2 data1 data2 sdcard1 sdcard2[root@localhost andorid]# mount /dev/sdd1 system1[root@localhost andorid]# mount /dev/sdd2 system2[root@localhost andorid]# mount /dev/sdc1 data1[root@localhost andorid]# mount /dev/sdc2 data2[root@localhost andorid]# mount /dev/sdb1 sdcard[root@localhost andorid]# mount /dev/sdb1 sdcard1[root@localhost andorid]# mount /dev/sdb2 sdcard2
通过直接查找:[root@localhost sdcard2]# grep "三国志" -r ../data/com.android.launcher3/shared_prefs/ldmnq_preference.xml
./data/com.android.flysilkworm/files/__track_send_data_1585810935428
![4d5ad2382a51d698e4fd125018c0cddb.png](https://i-blog.csdnimg.cn/blog_migrate/581daa19c929eed8fe970106b1ed9429.png)
Binary file ./dalvik-cache/x86/system@app@Launcher3@Launcher3.apk@classes.dex matches
进行文件分析:
[root@localhost sdcard2]# tree | grep Launcher3.apk│ ├── system@app@Launcher3@Launcher3.apk@classes.art│ ├── system@app@Launcher3@Launcher3.apk@classes.dex[root@localhost sdcard2]# cd ../system2/[root@localhost system2]# tree | grep Launcher3.apk│ │ └── Launcher3.apk[root@localhost system2]#[root@localhost system2]# find . -name Launcher3.apk./app/Launcher3/Launcher3.apk
考虑修改试试,先用APKIDE进行分析&打包:
![05332c65a4d840e11f5ceece8e4736d2.png](https://i-blog.csdnimg.cn/blog_migrate/bc2638ea115cc395f59f1f1e5fc75799.png)
![4bb69a1713fe80809744b0fface46ed9.png](https://i-blog.csdnimg.cn/blog_migrate/640e299e0f6d347105bb25be354f23f3.png)
aosp:/system/app/Launcher3 # mount | grep /system/dev/block/sda2 on /system type ext4 (ro,relatime,data=ordered)aosp:/system/app/Launcher3 # mount -o rw,remount /systemaosp:/system/app/Launcher3 # mount | grep /system/dev/block/sda2 on /system type ext4 (rw,relatime,data=ordered)aosp:/system/app/Launcher3 # cp Launcher3.apk Launcher3.apk.bakcp Launcher3.apk Launcher3.apk.bakaosp:/system/app/Launcher3 # lsLauncher3.apk Launcher3.apk.bak
![04732688889debf2c05ec4fdbd9fd13b.png](https://i-blog.csdnimg.cn/blog_migrate/d18717bfa38422ca11907f2aaf8d0ba2.png)
![7cd3f111f75621d1988d423a0512ccd6.png](https://i-blog.csdnimg.cn/blog_migrate/576e2139481fd8b6549ed82174cb4b21.png)
![4df240a08331b4c22e0a32cdab5505d5.gif](https://i-blog.csdnimg.cn/blog_migrate/8d6e86a7f06cfd328e724eba678181de.gif)
![6d0e18f337ce3bc79492ba85b3f6bf30.png](https://i-blog.csdnimg.cn/blog_migrate/b9d1c0542e2ed753a6ccb3f7e00cc4bc.jpeg)
看雪ID:nevinhappy
https://bbs.pediy.com/user-587311.htm
*这里由看雪论坛 nevinhappy 原创,转载请注明来自看雪社区。推荐文章++++
![1d8a3e958555d5156c12d144fc875c1e.png](https://i-blog.csdnimg.cn/blog_migrate/3eff61a86b6cd053bc0394d18a4df173.jpeg)
* 手把手教你入门V8突破利用
* Android微信逆向-实现发朋友圈动态
* 病毒样本半感染型分析的方法
* 对宝马车载apps协议的逆向分析研究
* x86_64架构下的函数调用及栈帧原理
好书推荐
![115a661577ee72ccd9b88040b9a83372.png](https://i-blog.csdnimg.cn/blog_migrate/30c438678b193827571e73d5391a0bdf.jpeg)
![739cfdae6eb41f5fb6360a818f8572c9.gif](https://i-blog.csdnimg.cn/blog_migrate/2d450b680ab22f76a4df313c8526099b.gif)