爬虫进阶(安卓逆向)安卓基础与逆向工具(1)

置顶 已于 2023-11-11 14:21:50 修改
阅读量285 收藏 5
点赞数 4
分类专栏: 安卓逆向-frida技术栈 文章标签: android 反编译 java 爬虫 python
于 2021-07-01 00:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44238683/article/details/118371603
版权

目录

一、预备工具:

JAVA环境(java sdk):
官方下载安装地址:

https://www.oracle.com/technetwork/java/javase/downloads/index.html

默认路径下,安装完配置系统环境变量
在这里插入图片描述

apktool:

  • 是apktool.jar 要安装Java环境才能运行
  • windows下设置环境变量 后 可以用 apktool 命令
下载这个项目 https://github.com/iBotPeaches/Apktool
解压后,改名为apktool

在这里插入图片描述

下载jar
https://bitbucket.org/iBotPeaches/apktool/downloads/
且改名为apktool.jar

在这里插入图片描述
将其移动到第一个下载改名的项目文件夹下
在这里插入图片描述
修改系统环境变量
在这里插入图片描述
验证是否可用
在这里插入图片描述

JADX:

https://www.softpedia.com/get/Programming/Other-Programming-Files/Jadx.shtml

目录里可以直接双击运行

下面两个工具是 Java SDK里自带的
keytool 证书工具
jarsigner 签名工具

二、JAVA基本知识

JAVA源代码文件是XXX.java
JAVA是编译性语言,编译后才能运行(PYTHON是解释性语言,直接运行)
JAVA编译后的文件是XXX.class class文件是可执行文件
JAVA虚拟机运行 可以运行XXX.class java XXX.class
安卓下是 xxx.dex dex是安卓里可执行文件

三、安卓软件包:APK

原生app文件(大活动app下载地址http://www.downyi.com/downinfo/157847.html)
在这里插入图片描述
改名zip解压后
在这里插入图片描述

  • APK是一个压缩文件,用zip压缩解压 APK包的目录结构
  • assets:资源文件(图片,网页,视频),不会被编译。
  • res:资源文件(静态文本,图片,关键资源) 汉化,要被编译。 举例汉化
  • lib:.so库,系统库,自己打包的库。有的把加密/token生成方式放在.so文件里
  • META-INF:签名信息。
  • AndroidManifest.xml:配置信息(关键),举例修改权限
  • classes.dex:android dalvik虚拟机可执行文件(主要逻辑代码)
  • resources.arsc:资源索引/对应文件 res

如果apk被加固过的,被漏洞利用改名zip解压,会有问题

四、JADX

(apk jar class dex等)把dex文件转化为java代码
在这里插入图片描述
在这里插入图片描述
启动方式
在这里插入图片描述
在这里插入图片描述
可以借助搜索功能,变量名定位编译后的java代码寻找线索,如爬虫工具抓包,一个url,为post请求,post请求众所周知都需要提交请求参数,假如需要提交,token参数
在这里插入图片描述
就能直接定位到代码分析
在这里插入图片描述
读懂java代码逻辑,后续模拟出token生成方法(假设)

五、apktool

详细说明与使用:

https://www.jianshu.com/p/5427d2e89848

只需要会两条命令足够,编译打包

1. 编译

apktool d huodongjia_v4.6.2_downyi.com.apk

在这里插入图片描述
编译后变化
在这里插入图片描述
在这里插入图片描述
将classes.dex(二进制) 反编译成smali文件(了解更多可以百度)

AndroidManifest.xml

  • APP权限配置
  • 程序入口

smali 文件(一种汇编代码)

  • .smali可以和.dex相互转换
  • 修改APK代码通常修改smali文件(重新修改.java源代码 重新编译的困难太大)
  • baksmali.jar smali.jar对dex 和 smali文件做转换

classes.dex

  • 源代码在classes.dex文件里
  • 可以反编出.java代码
    .smali—>.dex---->.java

大厂,利用APKTOOL漏洞的apk会反编译失败,等升级,找老版本。

2. 打包

apktool b apktool b huodongjia_v4.6.2_downyi.com

会将重新打包后的apk默认放到dist里,但是这种apk的签名是无法用的,需要进行修改签名,才能进行安装(下一小节)
在这里插入图片描述

六、AndroidManifest.xml 与jadx、apktool结合运用

  • APP权限配置
  • 一个APP会有一个程序入口函数
    在这里插入图片描述
    还系统方法(系统调用,安卓系统函数),无法进行进行混淆,因此很好确定app启动第一个函数入口
    在这里插入图片描述
    app启动界面查找技巧,关键字main
    在这里插入图片描述
    在上面分析AndroidManifest.xml得到了app启动函数
android:name="com.dahuodong.veryevent.HdjApplication"

apktool是将classes.dex(二进制) 反编译成smali文件,classes.dex存储了很多逻辑,转换为smali,可以通过smali语法阅读知道相关线索
在这里插入图片描述
进入smali文件夹,根据AndroidManifest.xml,分析得到的app首启动函数名,去寻找地址
在这里插入图片描述
txt或者编译器都能打开
在这里插入图片描述
可以看到定位到了函数具体内容含义
在这里插入图片描述

八、签名

keytooljarsigner 工具是JAVA JDK自带的

生成证书

keytool -genkey -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 4096 -validity 10000

用证书给apk签名

jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore my-release-key.keystore -signedjar 
huodongjia_v4.6.2_downyi_sign.com.apk huodongjia_v4.6.2_downyi.com.apk my_alias

huodongjia_v4.6.2_downyi_sign.com.apk   需要签名的APP
huodongjia_v4.6.2_downyi.com.apk my_alias 签名后新APP名词
  • 未签名APK不能在安卓手机上安装
  • APP在启动时会对签名校验,要逆APP,跳过校验

进入到dist目录
在这里插入图片描述
执行生成命令
在这里插入图片描述
在这里插入图片描述
用证书给apk签名(密码为刚刚创建证书输入的)
在这里插入图片描述
在这里插入图片描述

稳稳C9
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
【APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包防护
吴秋霖的博客
01-05 7701
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包防护!
TVBoxOSC 服务端爬虫 .zip
03-01
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标数据,如文本、图片、链接等。 数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、数据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。
爬虫逆向爬虫遇到的常见加密算法 整理(安卓逆向 js逆向) 持续更新
weixin_44236034的博客
03-23 798
取盐 算法,消息摘要算法,是对数据进行一系列运算后,截取一部分关键值进行校验。因此运算过程不可逆,无法还原出加密前的 初始文本。消息摘要算法得到的结果长度一般是固定的,无论输入的消息有多长,计算出来的消息摘要的长度总是固定的。一般地,只要输入的文本不同,对其进行摘要以后产生的摘要消息也必不相同,但相同的文本输入必会产生相同的输出。
什么是Android逆向?如何学习安卓逆向Android逆向自学笔记入门到实战
2401_84149875的博客
04-19 1303
*其实上面说了这么多,钱是永远赚不完的,在这个知识付费的时代,知识技能提升才是是根本!我作为一名8年的高级工程师,知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门,刚刚开始工作,或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己,最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。这么重要的事情说三遍啦!
爬虫进阶安卓逆向)加壳加固-脱壳方法-破解腾讯乐加固-破解app请求token(3)
稳稳C9的博客
07-04 2452
爬虫进阶安卓逆向)加壳加固-脱壳方法-破解腾讯乐加固-破解app请求token(3)
Android-Flutter-BottomNavigationBar:该如何优雅实现底部导航栏?(1)
2301_82242844的博客
03-28 921
*其实上面说了这么多,钱是永远赚不完的,在这个知识付费的时代,知识技能提升才是是根本!我作为一名8年的高级工程师,知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门,刚刚开始工作,或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己,最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。这么重要的事情说三遍啦!
快速入门手机爬虫
qq_40081339的博客
11-08 8139
快速入门手机爬虫 前言: 本人是在接触python爬虫后,萌发了“Android开发应该也能实现爬虫效果,这样用手机爬是不是会更方便”这一念想。于是兴趣使然就开始了手机爬虫的探索之旅。虽然这路已被探索无数次,但是对于未曾去过的我依旧向往。 一、整装待发: 1)爬虫工具和环境: Android系统 Android studio 2)入手前准备: 了解kotlin语言:由于Android studio 4.1使用的是kotlin语言,所以需要自行稍微了解一下其语言特性,如定义方式、逻辑表达式,当然你会发现
Python分布式爬虫逆向进阶实战-视频教程网盘链接提取码下载.txt
09-07
本课程从 0 到 1 构建完整的爬虫知识体系,精选 20 + 案例,可接单级项目,应用热门爬虫框架 Scrapy、Selenium、多种验证码识别技术,JS 逆向破解层层突破反爬,带你从容抓取主流网站数据,掌握爬虫工程师硬核技能。...
Python爬虫进阶 JS 解密逆向实战.zip
03-23
爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL...
Python网络爬虫进阶教程.pdf
08-06
9 网络爬虫进阶之 Selenium 篇 9.1 Selenium 简介 . . . . . . . . 9.1.1 Selenium 是什么 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 9.1.2 Selenium 特点 . . . . . . . . ....
安卓逆向教程
10-12
1、负责安卓程序的加解密和数据传输分析、拆解、逆向等工作; 2 、逆向APK,了解运行过程; 3 、Andorid本地提权获得root权限; 4 、熟练掌握软件逆向静态分析、动态调试、代码跟踪等; 5 、熟悉Android开发,了解打包、反编译、破解流程; 6 、so破解。
Python爬虫JS逆向进阶课程
最新发布
06-08
这门课程是Python爬虫JS逆向进阶课程,将教授学员如何使用Python爬虫技术和JS逆向技术获取网站数据。学习者将学习如何分析网站的JS代码,破解反爬虫机制,以及如何使用Selenium和PhantomJS等工具进行模拟登录和数据...
爬虫教程( 3 ) --- 手机 APP 数据抓取
热门推荐
墨鱼菜鸡
07-11 1万+
1. Fiddler 设置 这是使用 fiddler 进行手机 app 的抓包,也可以使用 Charles,burpSuite 等。。。 电脑安装 Fiddler,手机 和 安装 fiddler 的电脑处于同一个网络里, 否则手机不能把 HTTP 发送到 Fiddler 的机器上来。 配置 Fiddler,允许"远程连接"。用 Fiddler 对 A...
android爬虫框架jsoup,Android基于Jsoup的网络爬虫
weixin_39620370的博客
05-31 964
一、浅谈网络爬虫​随着网络的迅速发展,互联网成为大量信息的载体,如何有效的利用这些信息成为巨大的挑战。区别于搜索引擎,定向抓取相关网页资源的网络爬虫应用而生,可以根据既定的抓取目标有效的选择网络上需要的网页资源和信息。如用户想获得知乎豆瓣等网站上的主要数据进行分析,如用户想获得某个论坛贴吧内的所有图片等,把这项工作交给网络爬虫,可以大大提高人们的效率。二、Jsoup简介Jsoup是一个 Java ...
爬虫之有个操作也许可以检测aiohttp、httpx,requests也尴尬?
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-14 3647
最近行业市场不太景气啊,趁着有时间多学学吧,武装自己,等机会刚好,发现一个很6的东西。这个问题是在差不多半个月前,群友 @十一 发现的,然后在群里跟大家讨论。这个网站,请求的时候,requests正常:原始的curl也可以:aiohttp,直接报错httpx,也直接报错:不过httpx的报错要明显点,这就进入了有意思的环节爬虫的核心,还是指纹等静态特征完全的模拟浏览器环境,行为等动态特征完全的模拟人为操作geekbyte。
安卓逆向怎么通过一个点击快速定位到关键函数_安卓爬虫入门 | 基础知识&工具介绍...
weixin_39615419的博客
10-22 320
没人会为你落泪,所以你才止不住哭泣厄加特前言从这一期,我们会开始3-4期的安卓爬虫入门学习。为什么要做安卓爬虫?web的爬虫我还没学好呢。因为移动端爬虫有先天的优势:非实时更新,程序更新后往往会兼容旧版本,我们的爬虫程序不会因升级突然失效,故而程序更稳定验证码少,移动端为了考虑用户体验,各类验证码校验较少web爬虫泛滥成灾,移动端还大有可为。(文中PPT及所有工具会放在知识星球"爬虫三十...
强大工具推荐,APP爬虫采集与逆向必备清单
吴秋霖的博客
06-09 1万+
APP爬虫采集与逆向工具盘点,助力掌控APP世界
爬虫修改成功版
weixin_45565595的博客
09-11 245
问题改进: 1:无法保存jpg格式,将图片格式换成了PNG。 2:被阻止访问 被阻止访问的图片地址格式:https://www.gamersky.com/showimage/id_gamersky.shtml?https://img1.gamersky.com/image2020/09/20200909_ls_red_141_3/gamersky_020origin_039_20209918207DC.jpg 修改后的访问格式:https://img1.gamersky.com/image2020/
python爬虫逆向进阶
08-17
Python爬虫逆向进阶中,有许多技术和工具可以帮助实现逆向操作。其中一个重要的工具是Selenium。Selenium是一个用于自动化浏览器操作的工具,它可以模拟用户在浏览器中的行为,如点击、填写表单等。通过使用Selenium,可以实现一些需要模拟用户行为的爬虫任务,例如登录网站、获取动态页面的数据等。在逆向方面,Selenium还可以帮助我们解密一些加密的参数、破解一些验证码等。除了Selenium,还有其他一些工具和技术可以用于Python爬虫逆向进阶,如使用JS解密、破解cookie、破解token等。这些技术和工具可以帮助我们更好地理解和分析网站的加密算法,从而实现一些逆向操作。总的来说,Python爬虫逆向进阶是一个非常有挑战性但也非常有趣的领域,需要我们不断学习和探索新的技术和方法。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [JSCrack:Python爬虫进阶 JS 解密逆向实战](https://download.csdn.net/download/weixin_42123191/18184314)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [Python网络爬虫进阶教程.pdf](https://download.csdn.net/download/dwf1354046363/20818516)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值