花裡胡哨之突破安卓某APP低層加密

今天給大家分享一下如何逆向分析Native層的加密，整個過程的思路值得大家借鑑，接下來小編給大家上才藝

所需要的設備和環境

設備：

安卓手機(獲取root權限)

抓包：

fiddler + xposed + JustTrustMe

反編譯：

jadx-gui，ida

抓包

這裡我們就不用知道這個app的名稱，開啟fiddler 抓包後 app 提示連接不到網絡，判斷是證書驗證，開啟 xposed 框架，再次請求，成功抓到包，連續請求兩次來對比參數變化：

可以看到 x-app-token 這個參數不一樣，其他參數都是固定的，先簡單看一下x-app-token的構成：

這樣做了一下換行，有沒有發現什麼規律？

我一眼就看出來第二行是手機的 deviceID，因為爬蟲寫多了，這個字符串經常出現，第一行是 32 位，應該就是個md5， 第三行是個 16 進位數，知道了這些，接下來就來反編譯，搜索這個關鍵字。

反編譯

反編譯之前先使用ApkScan-PKID 查一下是否有殼，養成好習慣，這個 app 沒有加殼，直接用 jadx 打開，全局搜索 「x-app-token」，只有一處，應該就在這裡了：

從框中代碼發現 x-app-token 的值就是 as，而 as 是函數 getAS 生成的，按住滑鼠左鍵，點擊getAS 進去看看詳情：

它把函數過程寫到native 層中去了，那隻好去分析這個名為native-lib 的so 文件了，解壓目標 apk 獲取到了如下圖這些文件：

so文件就在這個lib文件夾裡：

ida中打開這個文件，切換到Export導出函數選項卡，先來直接搜索getAS：

沒有搜到getAS，倒是搜到了getAuthString，名字很像，打開看看吧，按 F5可以把彙編代碼轉換為偽c 代碼，下拉分析一波，看到了 md5關鍵字：

代碼有點難懂，連懵帶猜v61應該是 MD5加密後的結果，然後 append 似乎是在拼接字符串，看到了「0x」，根據抓包的結果已經知道x_app_token 的第三行是個 16 進位數，那應該是這裡的v86了，向上看看它具體是什麼：

v86存的是 v40的值，而 v40 就是當前的時間戳，那 x-app-token 第三行應該就是時間戳的 16 進位數。接下來看看md5的入參為v58,v52,v53，重點來看v52，往上追朔看到其和v51 是相等的，而v51 是一個未知字符串經過 base64編碼得到的，先來hook這兩個函數，寫段腳本：

第1處和2處分別是目標函數的地址，滑鼠點到目標函數處，ida左下角會顯示，加1是為何，只記得大學時候學過彙編語言講到段地址，偏移地址，物理地址這些，猜測和這些知識有關，還需研究，這裡先這樣用，第3處的寫法是當這個參數為字符串時的寫法，運行一波，看看列印輸出：

同時也來抓包：

把v52的值放到在線MD5網站中加密看看：

和抓包得到的結果是一樣的，那就證明hook點找對了，那麼v49就是base64編碼之前的值，v49是什麼呢，仔細一看，裡面也有deviceID，再來分割一下:

第一行通過兩次hook，發現他是固定不變的，第二行是改變的，32位，看起來又是個md5，第六行是包名，返回偽c代碼，再來分析看看，在前面又看到了MD5加密的地方：

那來hook這個函數，看看入參：

列印的入參數據為：

S是一個時間戳，拿到MD5加密網站上驗證一下，正好和v49中包含的字符串相同：

至此，逆向就完成了，來總結一下x-app-token的獲取過程，先是帶有把時間戳進行md5，按下圖順序拼接：

然後把拼好的字符串進行base64編碼，最後把編碼結果進行MD5，得到x-app-token的開頭部分，組成如下：

接下來寫個腳本來請求數據

請求

代碼如下：

運行，成功拿到數據：

總結一下

今天主要介紹了native 層hook 的方法，雖然 so 文件中的偽c代碼要有一定的基礎才能看懂，但是先不要怕，分析的過程中可以先大膽假設，有frida非常強大的hook 功能，就能一步步驗證之前的假設。這兩次都是靜態分析方法，下次我們再來介紹一下動態調試的方法。

---

以上就是小編今天帶來的內容，小編本身就是一名python開發工程師，我自己花了三天時間整理了一套python學習教程，從最基礎的python腳本到web開發，爬蟲，數據分析，數據可視化，機器學習，等，這些資料有想要的小夥伴可關注小編，並在後臺私信小編：「 01 」 即可領取