Android逆向:通过Xposed解密柠某直播本地数据

最新推荐文章于 2023-01-15 08:00:00 发布
最新推荐文章于 2023-01-15 08:00:00 发布
阅读量762 收藏 1
点赞数 1
分类专栏: 逆向分析 文章标签: 安全 android 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyc3545/article/details/109557128
版权

声明:案例分析仅供学习交流使用,勿用于任何非法用途。如学习者进一步逆向并对版权方造成损失,请自行承担法律后果,本人概不负责。

简介

很多软件在保护文件安全、用户隐私时,都会对本地文件数据进行加密处理。本次逆向的apk就对关键数据进行了加密,并对加解密代码提供了一定程度的保护。
 

目标

写一个小工具解密数据。
 

逆向流程

找到解密函数

首先从data目录找到文件:data2.8.0。内容是经过加密的。
在这里插入图片描述
通过jadx搜索“data2.8.0”没有任何线索,进一步扩大范围搜索“data”,本来有些担心这个词语过于普遍导致结果太多,但没想到还真找到一个很可疑的“data+版本号”格式的字符。
在这里插入图片描述
追踪进com.vv.test.ChannelDatas,恰好可以看到第一个函数貌似就是在读取加密文件。
在这里插入图片描述
经过分析,该方法功能确实是读取文件后解密。

public ChannelDatas(Context context) {
    this.mySettings = new MySettings(context);

    //这里是在生成之后AES解密用的key
    //pmd5(string)是取md5
    //SplashActivity.sKey是动态生成的密匙
    //getSettingStr("rand")是从SharedPreferences取"rand"
    String substring = AES.pmd5(SplashActivity.sKey + new MySettings(PlayerActivity.context).getSettingStr("rand")).substring(7, 7 + 16);
    try {
        //读取文件
        this.jsonString = ChannelManager.readfile(context, FILE_DATA);

        //文件内容做变换
        this.jsonString = this.jsonString.substring(64);
        this.jsonString = this.jsonString.substring(64);
        this.jsonString = this.jsonString.replace("f", "#");
        this.jsonString = this.jsonString.replace("b", "f");
        this.jsonString = this.jsonString.replace("#", "b");
        this.jsonString = this.jsonString.replace("t", "%");
        this.jsonString = this.jsonString.replace("y", "t");
        this.jsonString = this.jsonString.replace("%", "y");

        //变化后使用AES解密
        this.jsonString = AES.Decrypt(this.jsonString, substring);

        //解密后Base64解密一道再解压一次得到
        this.jsonString = new String(gzuncompress(Base64.decode(this.jsonString, 0)), "UTF-8");
    } catch (Exception e) {
        e.printStackTrace();
        new MySettings(PlayerActivity.context).saveVersion(0);
        Toast.makeText(PlayerActivity.context, "解析节目数据失败!请重新启动软件!", 1).show();
    }
}

/**
 * AES解密工具
 * str为要解密的内容,str2为密匙
 */
public static String Decrypt(String str, String str2) throws Exception {
    if (str2 == null) {
        try {
            System.out.print("Key为空null");
            return null;
        } catch (Exception e) {
            System.out.println(e.toString());
            return null;
        }
    } else if (str2.length() != 16) {
        System.out.print("Key长度不是16位");
        return null;
    } else {
        SecretKeySpec secretKeySpec = new SecretKeySpec(str2.getBytes("utf-8"), "AES");
        Cipher instance = Cipher.getInstance("AES/ECB/PKCS5Padding");
        instance.init(2, secretKeySpec);
        try {
            return new String(instance.doFinal(Base64.decode(str, 0)), "utf-8");
        } catch (Exception e2) {
            System.out.println(e2.toString());
            return null;
        }
    }
}

/**
 * 解压方法
 */
public static byte[] gzuncompress(byte[] bArr) {
    byte[] bArr2 = null;
    ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream(bArr.length);
    Inflater inflater = new Inflater();
    try {
        inflater.setInput(bArr);
        byte[] bArr3 = new byte[256];
        while (!inflater.finished()) {
            byteArrayOutputStream.write(bArr3, 0, inflater.inflate(bArr3));
        }
        bArr2 = byteArrayOutputStream.toByteArray();
        byteArrayOutputStream.close();
    } catch (Exception e) {
        e.printStackTrace();
    } catch (Throwable th) {
        inflater.end();
        throw th;
    }
    inflater.end();
    return bArr2;
}

 

分析关键参数

当然,到这里还没结束,那就是SplashActivity.sKey和getSettingStr(“rand”)还没拿到,"rand"好办,直接从SharedPreferences.xml文件里可以读到,SplashActivity.sKey还挺费工夫的。由于混淆的厉害,就拿Dalvik看吧。
在这里插入图片描述
摘出真正在生成sKey的部分:

L_0x0106:
...
    java.lang.StringBuilder r9 = new java.lang.StringBuilder
    r9.<init>()
    int r10 = sig 
    android.support.v4.media.TransportController.m88(r9, r10) //r9.append(r10)
    java.lang.String r10 = appname
    okhttp3.Route.m286(r9, r10) //r9.append(r10)
    java.lang.String r10 = packagename
    okhttp3.Route.m286(r9, r10)
    com.setting.MySettings r10 = r1.mySettings
    java.lang.String r10 = com.vv.test.ChannelData.m226(r10) //r10.getSign();
    okhttp3.Route.m286(r9, r10)
    java.lang.String r9 = okhttp3.internal.connection.RouteDatabase.m303(r9) //r9.toString();
    java.lang.String r9 = android.support.v4.app.NotificationCompat.CarExtender.UnreadConversation.Builder.m44(r9) //md5(r9) 
    sKey = r9
    java.lang.StringBuilder r9 = new java.lang.StringBuilder
    r9.<init>()
    java.lang.String r10 = sKey
    android.support.v4.media.MediaMetadataCompatApi21.Builder.m82(r9, r10) //r9.append(r10)
    java.lang.String r10 = appname
    okhttp3.Route.m286(r9, r10)
    java.lang.String r10 = packagename
    android.support.v4.media.MediaMetadataCompatApi21.Builder.m82(r9, r10)
    java.lang.String r9 = android.support.v4.media.session.PlaybackStateCompat.Builder.m106(r9) //r9.toString();
    java.lang.String r9 = android.support.v4.app.NotificationCompat.CarExtender.UnreadConversation.Builder.m44(r9)
    sKey = r9
...

其中关键的是sig和getSign()。sig生成也比较麻烦:
在这里插入图片描述
getSign()是native方法,使用ida静态分析可以看到逻辑如下:
在这里插入图片描述
 

开始Hook

上面两个函数我就不一点点分析了,有兴趣的盆友可以进一步挖掘,我在这里就直接开挂(Xposed Hook)给出答案了:

public class XposedInit implements IXposedHookLoadPackage {

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
        XposedBridge.log("hook init ---"+lpparam.packageName);
        if (lpparam.packageName.equals("com.vv.com")) {
            XposedBridge.log("hook start com.vv.com");
            //拿到com.vv.test.SplashActivity类
            final Class<?> splashActivityClass = XposedHelpers.findClass("com.vv.test.SplashActivity", lpparam.classLoader);
            //Hook com.vv.test.SplashActivity的onCreate()方法
            XposedHelpers.findAndHookMethod("com.vv.test.SplashActivity", lpparam.classLoader, "onCreate", Bundle.class, new XC_MethodHook() {
                //onCreate()方法执行完后
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    //打印SplashActivity.skey
                    String skey = String.valueOf(XposedHelpers.getStaticObjectField(splashActivityClass,"sKey"));
                    XposedBridge.log("skey:" + skey); //d3ba4001c159be6c4087fd3679a4a74d
                }
            });
            return;
        }
    }
}

获得sKey之后就能写出文件解密工具了:

public static String runDecrypt() {
    String rand = "13ae41c997b396765bd57e3f8786dbf7";
    String sKey = "d3ba4001c159be6c4087fd3679a4a74d";
    String substring = MyTool.md5(sKey + rand).substring(7, 7 + 16);
    String resData = FileUtils.loadFile("./files/data2.8.0", "utf-8");
    resData = resData.substring(64);
    resData = resData.substring(64);
    resData = resData.replace("f", "#");
    resData = resData.replace("b", "f");
    resData = resData.replace("#", "b");
    resData = resData.replace("t", "%");
    resData = resData.replace("y", "t");
    resData = resData.replace("%", "y");
    try {
        resData = Decrypt(resData, substring);
        resData = new String(gzuncompress(Base64.decode(resData, 0)), "UTF-8");
        if (StringUtils.isNotBlank(resData)) {
            FileUtils.forBufferedWriter(resData, "./files/data.txt", false);
        }
        return resData;
    } catch (Exception e) {
        e.printStackTrace();
    }
    return "";
}

执行后即可获得解密后文本:
在这里插入图片描述
 

相关资料

Android studio 3.0编写Xposed HOOK登录框

高新园养鸡场
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android逆向分析案例——某点评APP登陆请求数据解密
生为码农,死亦码奴
08-09 1万+
上一次的逆向分析案例中讲了如何去分析某酒店的APP登陆请求,为了进一步学习如何逆向分析以及学习其他公司的网络传输加解密,本次案例将继续就登陆请求的数据加密进行分析,实现从网络抓包的密文到明文的转换,这次成为炮灰的是某点评的APP~ 首先,分析的步骤还是和上一次分析某酒店的APP那样: 反编译-->找关键代码-->分析请求代码加解密原理-->验证密文到明文准确性。 分析步骤的重点主要是第3
安卓逆向_22( 一 ) --- XposedAndroid Studio + Xposed 实现简单的 hook 】
墨鱼菜鸡
07-11 2135
From:使用渗透测试框架 Xposed 框架 hook 调试 Android APP:https://www.freebuf.com/articles/terminal/56453.html Xposed框架分析:https://blog.csdn.net/zjx839524906/article/details/81046844 xposted框...
Android数据库加解密逆向分析(一)
未然的博客
06-03 2538
最近事比较多,所以最近一段时间也没更新博客了,现在终于有时间来写博客,美滋滋。好了接下来就带来三篇关于Android数据库加解密逆向分析,第一篇主要说说现在Android中常用的两种SQlite加密方式:加密写入数据库的内容和加密整个数据库文件;第二篇以逆向分析一款通讯软件“Line”为例介绍“加密写入数据库的内容”这种数据库加密方式;第三篇以逆向分析阿里的一款通讯软件“点点虫”为例,简单介绍下“
安卓逆向加密篇(二):某应用数据加密逆向分析过程
wsfsp_4的博客
01-15 896
近日对某APP进行网络请求接口分析时,发现接口请求数据是明文没有加密,但响应数据加密了,如下图。按照之前的经验对其逆向分析,并记录下该次逆向分析过程。
Xposed逆向破解思路
lamboo_cn的专栏
04-12 1307
工具的选择 Xposed框架,以及工具包 AndroidStudio开发工具,jdk ApkTool, dex2jar 通用逆向分析步骤 1.心里要有该模块正向编程相关方法实现流程 2.使用apktool解密apk,得到资源、jni模块等文件 3.从apk提取出dex文件,使用dex2jar或者enjarify-master转换成jar文件,再用java逆向工具得到java源码 de...
安卓客户端、PHP服务端AES加密解密
云鸽
01-09 1369
1、安卓客户端AES加密解密 Stringkey = "1234567820150401"; //安卓客户端代码AES加密 String str = "abc中国人"; str=Security.encrypt(str, key); Log.e(tag,"加密str:"+str); //安卓客户端代码AES解密 str = Security.decrypt(str,
Android java层常见加密算法的hook自吐以及栈信息的打印
YenKoc的博客
01-29 85
杂谈:其实原理并没有很难,本质就是hook Android框架层中的api将我们想要的key和iv(也可以没有,就打个比方),但是目前的话,很多厂家已经不在直接调用java层的这些加密算法的api了, 很多都是使用自己实现的加密算法,要么就是放在so里面,要么就是java层自己实现一个差不多算法的,这个我主要还是锻炼xposed的使用度,目前感觉挺好上手,甚至对我更友好,毕竟 java老粉丝...
Android逆向助手-v2.2.zip
最新发布
07-14
Android逆向助手v2.2深度解析》 在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,...
android逆向工具全部
08-14
本文将详细探讨“android逆向工具全部”这一主题,介绍一些常用的Android逆向工具及其功能。 1. **Apktool**:Apktool是一款用于反编译APK文件的工具,它可以解析APK中的资源文件,如XML布局、图片等,并将其重构为...
Android 逆向实战
Luzhuo 的博客
03-23 2874
Android逆向
xamarin学习笔记A16(安卓OkHttp3和HttpURLConnection)下
11-01
xamarin学习笔记A16(安卓OkHttp3和HttpURLConnection)下
xamarin学习笔记A15(安卓OkHttp3和HttpURLConnection)上
11-01
xamarin学习笔记A15(安卓OkHttp3和HttpURLConnection)上
Android逆向实战篇(加密数据包破解)
热门推荐
shayuchaor的博客
11-05 2万+
目录 1. 实战背景 2. 问题分析 3. 实战记录 1) 脱壳 2) 找到解密函数 3) 重现 4. 总结 阅读本文之前,建议阅读Android逆向实战篇(Https抓包)。 1. 实战背景 由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了。 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长...
xposed开发10 - 使用OkHttp网络请求
pureszgd的博客
04-23 3033
xposed开发10 - 使用OkHttp网络请求 1.build.gradle引入OkHttp // 网络请求框架 implementation 'com.squareup.okhttp3:okhttp:3.11.0' 2.添加OkHttpUtils单例 public class OkHttpUtils { private static final long DEFAULT_READ_...
安卓逆向Xposed HOOK TB直播APP的x-sign参数(二)
someby的博客
12-14 4784
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝直播APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。 分析展示 {"x-sign":"azSdY1002xAAGTOrG3oat7W3Cl5CuTOpOyrE7MLTDcHmpOcYgQ2AAK2s8P5+RHf/cTJX5G3EEiBQo/ftY5h33uGe4jkzuTOpM7kzqT","wua":"","x-mini-wua":"HHnB
Android对本地txt的文件读取
lamboo_cn的专栏
08-19 3491
public class Read_I_O { List<String> textList; public static List<String> readTxtFile(){ List<String> re=new ArrayList<String>(); String name = "black_keywords.txt"; tr
Android 客户端 okhttp3 与服务器之间的双向验证
leng_wen_rou的博客
02-28 8693
本篇是Android 客户端基于okhttp3的网络框架 和后台服务器之间的双向验证 分为三个阶段 一:简单的后台服务器搭建 二:客户端接入okhttp3,并进行的网络请求 三:服务器和客户端的双向验证 第一步:搭建简单的服务器 1:下载tomcat 2:配置tomcat 3:部署自己的web项目到tomcat 首先准备工具 ecl
Android逆向之旅---破解某支付软件防Xposed框架Hook功能检测机制
编码美丽
05-15 8735
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 一、情景介绍最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook...
基于XposedAndroid Hook测试
Locksk的博客
03-03 1602
0x01前言此次测试基于海马模拟器,Xposed框架版本为54,测试内容为安卓apk程序中的函数的传入参数的拦截准备工具:android studio                XposedBridgeApi-54.jar                海马模拟模拟器0x02 搭建框架在海马模拟器安装Xposed框架0x03准备测试样例用Android Studio写一个简单的测试的安卓程序D...
XPosed框架详解:Android登陆劫持实战
XPosed框架Android平台上的一款强大工具,它允许开发者在不修改应用程序APK的前提下,通过钩子(Hook)技术影响程序运行,实现系统级别的自定义和扩展。这款框架的核心原理在于,通过替换系统中的`/system/bin/app...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值