b站app so层逆向

最新推荐文章于 2024-07-18 11:07:23 发布
最新推荐文章于 2024-07-18 11:07:23 发布
阅读量318 收藏 2
点赞数 6
分类专栏: 安卓逆向 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48076656/article/details/140087495
版权

b站app so层sign逆向(使用unidbg调用)

样本:aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzI4MTI5MS9oaXN0b3J5X3Y2MTgwNTAw

版本: 6.18.0

定位sign生成位置,可以用frida hook定位,我这里直接贴出位置:

在这里插入图片描述

由此看出调用s方法,参数是map类型

unidbg调用so函数时的参数
    public String call_func_s(){
        TreeMap<String,String> map = new TreeMap<>();
        map.put("build","6180500");
        map.put("mobi_app","android");
        map.put("channel","shenma069");
        map.put("appkey","1d8b6e7d45233436");
        map.put("s_locale","zh_CH");
        DvmObject mapObj = ProxyDvmObject.createObject(vm,map);
        String result = String.valueOf(dvmClass.callStaticJniMethodObject(emulator,"s(Ljava/util/SortedMap;)Lcom/bilibili/nativelibrary/SignedQuery;",mapObj).getValue());
        return result;

    }
需要注意的是参数是JDK标准库的类型所以需要使用ProxyDvmObject.createObject来创建对象

最终unidbg补环境代码:

package com.dta.bilibili;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.Unicorn2Factory;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.util.Map;
import java.util.TreeMap;

public class NativeLibrary extends AbstractJni implements IOResolver {

    private final AndroidEmulator emulator;
    private final VM vm;

    private final Module module;

//    private final DvmObject<?> dvmObject;

    private final DvmClass dvmClass;
    public NativeLibrary(){
        emulator = AndroidEmulatorBuilder
                .for32Bit()
                .addBackendFactory(new Unicorn2Factory(true))
                .setProcessName("tv.danmaku.bli")
                .build();

        Memory memory = emulator.getMemory();
        memory.setLibraryResolver(new AndroidResolver(23));

        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/dta/bilibili/bilibli.apk"));
        vm.setVerbose(true);
        vm.setJni(this);

        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/java/com/dta/bilibili/libbili.so"),false);

        module = dm.getModule();
        vm.callJNI_OnLoad(emulator,module);
        // add thread
        // 设置多少条指令切换一次线程
        emulator.getBackend().registerEmuCountHook(1000);
        emulator.getSyscallHandler().setVerbose(true);
        emulator.getSyscallHandler().setEnableThreadDispatcher(true);
        emulator.getSyscallHandler().addIOResolver(this);

        dvmClass = vm.resolveClass("com/bilibili/nativelibrary/LibBili");

    }

    public static void main(String[] args) {
        NativeLibrary nativeLibrary = new NativeLibrary();
        String result = nativeLibrary.call_func_s();
        System.out.println("result===>"+result);
    }

    public String call_func_s(){
        TreeMap<String,String> map = new TreeMap<>();
        map.put("build","6180500");
        map.put("mobi_app","android");
        map.put("channel","shenma069");
        map.put("appkey","1d8b6e7d45233436");
        map.put("s_locale","zh_CH");
        DvmObject mapObj = ProxyDvmObject.createObject(vm,map);
        String result = String.valueOf(dvmClass.callStaticJniMethodObject(emulator,"s(Ljava/util/SortedMap;)Lcom/bilibili/nativelibrary/SignedQuery;",mapObj).getValue());
        return result;

    }

    @Override
    public boolean callBooleanMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature){
            case "java/util/Map->isEmpty()Z":{
                Map map = (Map) dvmObject.getValue();
                return map.isEmpty();
            }
        }
        return super.callBooleanMethod(vm, dvmObject, signature, varArg);
    }

    @Override
    public DvmObject<?> callObjectMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature){
            case "java/util/Map->get(Ljava/lang/Object;)Ljava/lang/Object;":{
                Map map = (Map) dvmObject.getValue();
                Object key = varArg.getObjectArg(0).getValue();
                return ProxyDvmObject.createObject(vm,map.get(key));

            }
            case "java/util/Map->put(Ljava/lang/Object;Ljava/lang/Object;)Ljava/lang/Object;":{
                Map map = (Map) dvmObject.getValue();
                Object key = varArg.getObjectArg(0).getValue();
                Object value = varArg.getObjectArg(1).getValue();
                return ProxyDvmObject.createObject(vm,map.put(key,value));
            }
        }
        return super.callObjectMethod(vm, dvmObject, signature, varArg);
    }

    @Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature){
            case "com/bilibili/nativelibrary/SignedQuery->r(Ljava/util/Map;)Ljava/lang/String;":{
                Map map = (Map) varArg.getObjectArg(0).getValue();
                return new StringObject(vm,SignedQuery.r(map));
            }
        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

    @Override
    public DvmObject<?> newObject(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        if (signature.equals("com/bilibili/nativelibrary/SignedQuery-><init>(Ljava/lang/String;Ljava/lang/String;)V")){
            String arg0 = (String) varArg.getObjectArg(0).getValue();
            String arg1 = (String) varArg.getObjectArg(1).getValue();
            return vm.resolveClass("com/dta/bilibili/SignedQuery").newObject(new SignedQuery(arg0,arg1));

        }
        return super.newObject(vm, dvmClass, signature, varArg);
    }

    @Override
    public FileResult resolve(Emulator emulator, String pathname, int oflags) {
        System.out.println("pathname==>"+pathname);
        return null;
    }
}

注意:补环境需要SignedQuery这个类所以需要去jadx把这个类以及相关类扣下来放到unidbg中

在这里插入图片描述

最终运行结果:

在这里插入图片描述

R玍一世ㄜ
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
猿人学2022APP逆向--第三题 so加密混淆
qq_38759383的博客
06-07 739
安卓逆向,so加密混淆破解,unidbg调用so文件
最新X货APP逆向教程
06-01
【X货APP逆向教程详解】 在移动应用开发和安全分析领域,逆向工程是一种重要的技术,用于理解软件的工作原理,查找潜在的安全漏洞或优化性能。这篇教程关注的是对"X货APP"的逆向分析,该应用的版本为v7.20.1。逆向...
某游戏社区App | So逆向分析
TheWeiJun的博客
04-11 2629
加载so、通过native关键字定义了需要调用的方法getSign,也就是说,它这里调用的是so的加密算法,so是什么?到这里,我们可以肯定,sign的加密算法就是md5加密;分析上面authorization的加密逻辑,我们需要确定return返回值中包含的多个参数的初始值即可完成对该参数的算法还原,接下来我们一起进入hook调试环节分析一下该算法吧。此刻我们已经知道了str、str2的生成规律,我们只需要还原该接口请求就能实现str、str2的参数生成,接下来我们需要对sign参数进行解密分析。
搜狗微信APP逆向(二)so
Codeooo 博客
07-01 8011
接着上文:https://blog.csdn.net/weixin_38927522/article/details/124726015 本次分析搜狗app so 加密相关逻辑。首先在导出函数查找一下: 点进去 Java_com_sogou_scoretools_ScEncryptWall_encrypt 查看 GetStringUTF 转化为C#的字符串,utf编码。 malloc 开辟空间 j_Sc_EncryptWallEncode 按照代码逻辑这个是核心代码继续进: 进到这个函数我们看下
app安卓逆向之native代码静态分析基础
weixin_43900244的博客
06-24 4417
app安卓逆向之Native代码静态分析基础Native代码静态分析1.背景分析2.概述3.开始3.1 ARM指令3.2 IDA基本使用方法3.3 Java调用Native方法原理3.4 Native代码的修改3.5 So文件替换4.总结 Native代码静态分析 1.背景分析 在安卓逆向的过程当中会遇到以下场景 经过上一阶段的Java代码静态分析以及动态调试,发现加密参数的生成方法调用了Native方法 经过对Native代码分析后修改对应代码,替换原so文件发现app运行异常 针对
Android逆向之实战逆向APP
铁柱的博客
01-20 2180
经过前2篇逆向前置知识的铺垫之后,我们终于要开始逆向实操了。以下操作主要是体现一下逆向的流程以及实操,为了安全考虑,并不会直接给出APP名称。从目标出发,一步步去完成我们的目标,回头再看,大家就会发现,不过如此罢了。
红米k30 允许调用gpu调试_记一次APP的so算法逆向(六)
weixin_39901685的博客
11-04 709
“前言:初学逆向 请多多指教”学习到的内容—1、在java,对容器类的对象进行hook来进行快速定位2、ida的findcrypt插件对so的算法快速识别3、文章分析简单,就是记录了一次新的hook思路,没有新的套路,就当作练手了,有一个字段没有分析出来,之后知道了会补上的算法逆向过程—APP登陆界面:数据包(请求和相应)如下:POST /api/v1/auth/login/sms...
app so3处魔改md5详解
11-17 1275
常见的魔改md5有:1:明文加密前处理 2:改初始化魔数 3:改k表中的值 4:改循环左移的次数 本期遇到的是124.且循环左移的次数是动态的,需要前面的加密结果处理生成,1首先对明文16进制编码,比如我的名字 杨如画 会被编码成e6 9d a8 e5 a6 82 e7 94 bb 2把明文填充到448bit(比如e6是两个16进制字符,也就是一个字节,8bit),填充方式是先填充一个80,接着一直填充00 00 00直到448bit, 填充成这样e6 9d a8 e5 a6 82 e7 94 bb
Android 简单的so逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-27 746
有兴趣的同学可以关注下我的个人公众号和星球公众号链接星球链接。
python app逆向_某文APP逆向抓取分析
weixin_39552037的博客
12-10 472
本篇来自跟我精进爬虫技术的同学(包子xia)投稿,文章的条理逻辑和对逆向工具使用,分析思路都很熟练。有苏州或南京的老板看上的,可以联系我噢,有潜力的爬虫工程师一枚。在学习了一段时间的爬虫逆向后,正好有需求要采集某某文书的一些数据,因此就以此app为例,给大家介绍一下如何使用frida找加密代码的思路,从而实现自动化采集。特此说明,本文仅供学习交流,请勿用作其他用途。主要使用的工具和环境如下:设备:...
app逆向学习相关笔记
12-13
app逆向学习相关笔记】 在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向...
APP逆向3.滑块教程.avi
08-03
APP破解
查看app调用了哪些so的工具
04-17
5. **逆向工程分析**:对于非开源App,研究其使用的SO库可以帮助逆向工程师理解其内部工作原理。 综上所述,了解并使用"查看app调用了哪些so的工具"对于安卓开发者来说是非常有价值的。它不仅能够提升应用的性能和...
APP逆向图片补充.avi
08-03
APP逆向
【16】Android基础知识之Window(二) - ViewRootImpl
mr_zengkun的博客
07-16 596
ViewRootImpl、WMS、绘制、硬件加速
更新weibo sdk(去掉so以适配Android 15的16K Page Size的版本)记录
最新发布
piggy514的博客
07-18 123
解决:据此提示判断weibo sdk使用了androidx;我的工程很懒,一般只更新业务代码,但既然要用weibo sdk,所以也必须把那些import android.support.改为使用androidx了。解决:意即 minSdkVersion 至少26,所以要修改各模块build.gradle里的minSdkVersion。解决:修改各模块build.gradle里的compileSdkVersion的值,至少34。解决:在模块build.gradle的android {} 里增加。
深入探索Laravel框架中的Blade模板引擎
2402_85762143的博客
07-14 786
Blade是Laravel框架自带的模板引擎,它允许你使用纯PHP代码来编写HTML模板。Blade的语法非常简洁,它使用双大括号{{ }}来输出数据,使用三组大括号!!!来输出未转义的HTML内容,以及使用符号来定义控制结构,比如@foreach@if等。
uniapp打包成Android时,使用uni.chooseLocation在App端显示的地址列表是空白?一直转圈的解决办法
南北极之间
07-14 469
之前一直用的是【使用公共测试证书】地图列表一直转圈,后来改成了【使用自有证书】这个选项,填入3个信息后,再继续下一步,打包后,就能正常显示地图列表了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值