当前位置: 首页 > news >正文

29.安卓逆向2-frida hook技术-逆向os文件(二)IDA工具下载和使用

news 2025/7/15 14:07:12

免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动!

内容参考于:图灵Python学院

工具下载:

链接:https://pan.baidu.com/s/1bb8NhJc9eTuLzQr39lF55Q?pwd=zy89

提取码:zy89

复制这段内容后打开百度网盘手机App,操作更方便哦

上一个内容:28.安卓逆向2-frida hook技术-逆向os文件(一)

上一个内容通过找sign参数,发现它的加密是在so文件中,然后又去找了so文件,然后so文件使用c/++写的,然后就需要一个工具对它进行逆向,工具叫做IDA,接下来就开始下载和使用ida

地址:https://52pojie.cn/thread-1874203-1-1.html

注意要下载,后面带Hex-Rays的,这表示有Hex-Rays插件,这个插件可以生成伪代码

下载完后双击下图红框

双击之后,然后点击Next

然后继续Next

继续Next

Password是qY2jts9hEJGy,继续Next

然后选择一个安装目录,选择完点击Next

然后创建桌面图标,然后Next

然后Install

等待安装完成

安装完成,勾选LaunchIDA然后点击Finish

 它的图标,32-bit是用来分析32位的so文件,64位的是用来分析64位的so文件,如果用32位的查看64位的会打不开

然后点击下图红框

点击Finish后

image-20250713163716380

然后点击ok

然后点击go

然后就打开了

然后把so文件拖到上图的窗口中后,如下图直接点ok,用默认的就可以

然后就把文件反编译好了

然后按空格可以展示成下图的样子

如果上图中的窗口不小关闭了,可以在下图位置找

如果窗口乱了

可以点击下图Reset desktop位置恢复

上一个内容中调用了wtf文件中的getSign方法,接下来找一下这个方法,鼠标左键单机下图红框位置

然后按CTRL+F,就会出现下图红框的东西

然后输入getSign,如下图就找到了getSign方法

然后双击下图红框位置就能跳转过去了

双击之后进入getSign方法里

然后按F5,就给它编程成了,c语言代码,注意如果下载的ida没有 Hex-Rays 插件这一步没办法做到,所以一定要下载带 Hex-Rays 插件的

然后开始分析,分析直接给ai,让ai写分析,分析完注释,这里的ai用的豆包

/*** JNI函数:Java_cn_thecover_lib_common_manager_SignManager_getSign* 功能:生成API请求签名(带入参数:account="accccc", token="", timestamp="1235")* 核心逻辑:双重MD5加密 + 参数拼接,最终返回大写签名*/
jstring __fastcall Java_cn_thecover_lib_common_manager_SignManager_getSign(JNIEnv *env, jclass obj, jstring account, jstring token, jstring timestamp)
{// 输入参数固定值:// account = "accccc"(用户账号)// token = ""(令牌,此处为空字符串)// timestamp = "1235"(时间戳)jstring v5; // 最终返回的签名字符串_jstring *v6; // 从Java获取的应用签名(假设为"appSecret123")char *v7; // 应用签名的UTF-8格式("appSecret123")std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> >::value_type *__rhs; // 账号的UTF-8值("accccc")char *v9; // 令牌的UTF-8值("")char *v10; // 时间戳的UTF-8值("1235")JNIEnv *v11; // 暂存JNI环境指针const char *v12; // 最终签名的C字符串_jmethodID *v13; // 静态方法getAppSign的ID_jclass *v14; // Java类LogShutDown的引用jstring v15; // 暂存timestamp参数("1235")jstring v16; // 暂存token参数("")jstring v17; // 暂存account参数("accccc")_jstring *v18; // 临时生成的Java字符串char v19; // 待加密字符串的临时副本char v20; // 第二次MD5加密的结果std::__ndk1::string result; // 最终签名(第二次MD5大写结果)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> > __lhs; // 第一步拼接结果std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> > v23; // 第二步拼接结果std::__ndk1::string encrypt; // 最终待加密的完整字符串char v25; // 应用签名的临时存储("appSecret123")char v26; // 应用签名的MD5结果(假设为"9A0A82F06B516634C4394A7E9072264D")std::__ndk1::string appsignMd5result; // 应用签名MD5的最终值("9A0A82F06B516634C4394A7E9072264D")JNIEnv *enva; // 暂存JNI环境指针__int64 v29; // 栈保护Cookie(防溢出)// 保存栈Cookie(用于函数结束时校验栈完整性)v29 = *(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);enva = env;v17 = account;v16 = token;v15 = timestamp;// 步骤1:查找Java类LogShutDown(用于获取应用签名)v14 = (_jclass *)_JNIEnv::FindClass(env, "cn/thecover/lib/common/utils/LogShutDown");if (v14) // 类查找成功{// 步骤2:获取类中静态方法getAppSign()的ID(方法签名:()Ljava/lang/String;)v13 = (_jmethodID *)_JNIEnv::GetStaticMethodID(enva, v14, "getAppSign", "()Ljava/lang/String;");if (v13) // 方法ID获取成功{// 步骤3:调用静态方法获取应用签名(假设返回"appSecret123")v6 = (_jstring *)_JNIEnv::CallStaticObjectMethod(enva, v14, v13);// 步骤4:将Java字符串转为C的UTF-8格式("appSecret123")v7 = (char *)_JNIEnv::GetStringUTFChars(enva, v6, 0LL);// 步骤5:将应用签名存入C++字符串(v25 = "appSecret123")std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::basic_string<decltype(nullptr)>(&v25, v7);// 步骤6:对应用签名做MD5加密(v26 = MD5("appSecret123") = "9A0A82F06B516634C4394A7E9072264D")md5((const std::__ndk1::string *)&v25, (std::__ndk1::string *)&v26);// 步骤7:MD5结果转大写(保持"9A0A82F06B516634C4394A7E9072264D",因MD5本身大写)toUpperCase(&v26);// ######################## ida问题说明 ########################// 这里应该有一步向 appsignMd5result 中添加v26的数据,这应该由于ida的问题给省略了,这个是问ai没有看到appsignMd5result赋值// 到后面 appsignMd5result 怎么就等于 9A0A82F06B516634C4394A7E9072264D了// 然后结合这里的代码很奇怪,上方调用getAppSign方法得到了一个数据,然后进行了MD5加密,加密完紧着就调用basic_string释放了内存// 并没有使用这个数据,这就很不正常,这里就可能在代码编译的时候进行了优化,然后ida反编译的时候就出错了// ######################## ida问题说明 ########################// 步骤8:释放临时变量(v25、v26完成使命)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v26);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v25);// 步骤9:将输入参数转为C的UTF-8格式__rhs = (std::__ndk1::basic_string::value_type *)_JNIEnv::GetStringUTFChars(enva, v17, 0LL); // __rhs = "accccc"(account)v9 = (char *)_JNIEnv::GetStringUTFChars(enva, v16, 0LL); // v9 = ""(token)v10 = (char *)_JNIEnv::GetStringUTFChars(enva, v15, 0LL); // v10 = "1235"(timestamp)// ######################## 核心拼接过程 ########################// 规则:appsignMd5result(应用签名MD5) + account + token + timestamp// 拼接步骤1:appsignMd5result + account// 输入:appsignMd5result = "9A0A82F06B516634C4394A7E9072264D",__rhs = "accccc"// 输出:__lhs = "9A0A82F06B516634C4394A7E9072264Daccccc"std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&__lhs, &appsignMd5result, __rhs);// 拼接步骤2:上一步结果 + token// 输入:__lhs = "9A0A82F06B516634C4394A7E9072264Daccccc",v9 = ""// 输出:v23 = "9A0A82F06B516634C4394A7E9072264Daccccc"(因token为空,结果不变)std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&v23, &__lhs, (const unsigned __int8 *)v9);// 拼接步骤3:上一步结果 + timestamp// 输入:v23 = "9A0A82F06B516634C4394A7E9072264Daccccc",v10 = "1235"// 输出:encrypt = "9A0A82F06B516634C4394A7E9072264Daccccc1235"(最终待加密字符串)std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&encrypt, &v23, (const unsigned __int8 *)v10);// ######################## 拼接结束 ########################// 步骤10:释放拼接过程的临时变量(__lhs、v23完成使命)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v23);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&__lhs);// 步骤11:将待加密字符串复制到临时变量(v19 = encrypt = "9A0A82F06B516634C4394A7E9072264Daccccc1235")std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::basic_string(&v19, &encrypt);// 步骤12:对完整字符串做第二次MD5加密(v20 = MD5("9A0A82F06B516634C4394A7E9072264Daccccc1235"))md5((const std::__ndk1::string *)&v19, (std::__ndk1::string *)&v20);// 步骤13:第二次MD5结果转大写(最终签名值)toUpperCase(&v20);// 步骤14:释放临时变量(v19、v20完成使命)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v20);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v19);// 步骤15:释放输入参数的UTF-8资源(避免内存泄漏)_JNIEnv::ReleaseStringUTFChars(enva, v17, (const char *)__rhs); // 释放account_JNIEnv::ReleaseStringUTFChars(enva, v16, v9); // 释放token_JNIEnv::ReleaseStringUTFChars(enva, v15, v10); // 释放timestamp_JNIEnv::ReleaseStringUTFChars(enva, v6, v7); // 释放应用签名// 步骤16:删除JNI本地引用(释放类和方法的引用)_JNIEnv::DeleteLocalRef(enva, &v6->0);_JNIEnv::DeleteLocalRef(enva, &v14->0);// 步骤17:准备返回结果(result = 最终签名值)v11 = enva;v12 = (const char *)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::c_str(&result);// 步骤18:将C字符串转为Java的jstring类型v18 = (_jstring *)_JNIEnv::NewStringUTF(v11, v12);// 步骤19:释放剩余临时变量std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&result);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&encrypt);v5 = (jstring)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&appsignMd5result);}else // 方法ID获取失败{_JNIEnv::ExceptionDescribe(enva); // 打印异常_JNIEnv::ExceptionClear(enva); // 清除异常状态__android_log_print(4LL, "theCover", "find md5mtd error"); // 日志提示方法查找失败v5 = (jstring)_JNIEnv::NewStringUTF(enva, "wtf"); // 返回错误标识v18 = v5;}}else // 类查找失败{__android_log_print(4LL, "theCover", "find class error"); // 日志提示类查找失败_JNIEnv::ExceptionDescribe(enva);_JNIEnv::ExceptionClear(enva);v5 = (jstring)_JNIEnv::NewStringUTF(enva, "wtf"); // 返回错误标识v18 = v5;}// 校验栈完整性(若栈未被破坏,返回v18;否则返回异常值)if (*(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40) == v29)v5 = v18;return v5; // 返回最终签名(或错误标识"wtf")
}

到这就把这个方法分析了,然后接下来就开始使用fridahook它们

img

http://www.xdnf.cn/news/1122841.html

相关文章:

  • kali安装失败-选择并安装软件包-一步到位
  • 7.15 窗口函数 | 二分 | 位运算 | 字符串dp
  • C# TCP粘包与拆包深度了解
  • MCP基础知识二(实战通信方式之Streamable HTTP)
  • 微信131~140
  • 属性绑定
  • 零基础 “入坑” Java--- 十一、多态
  • IDEA中使用Servlet,tomcat输出中文乱码
  • 《星盘接口2:NVMe风暴》
  • [spring6: Resource ResourceLoader ResourceEditor]-加载资源
  • 【Java笔记】七大排序
  • 现有医疗AI记忆、规划与工具使用的创新路径分析
  • 融合竞争学习与高斯扰动的多目标加权平均算法(MOWAA)求解多无人机协同路径规划(多起点多终点,起始点、无人机数、障碍物可自定义),提供完整MATLAB代码
  • 嵌入式硬件篇---晶体管的分类
  • Transformer江湖录 第五章:江湖争锋 - BERT vs GPT
  • ZYNQ双核通信终极指南:FreeRTOS移植+OpenAMP双核通信+固化实战
  • CSS面试题
  • C++卸载了会影响电脑正常使用吗?解析C++运行库的作用与卸载后果
  • 后端接口通用返回格式与异常处理实现
  • UI前端大数据处理新挑战:如何高效处理实时数据流?
  • JavaScript学习第九章-第三部分(内建对象)
  • 内测分发平台应用的异地容灾和负载均衡处理和实现思路
  • 8.服务通信:Feign深度优化 - 解密声明式调用与现代负载均衡内核
  • 【微信小程序】
  • SQL ORM映射框架深度剖析:从原理到实战优化
  • springboot 好处
  • 【日常技能】excel的vlookup 匹配#N/A
  • 如何将 iPhone 备份到云端:完整指南
  • Mysql数据库学习--多表查询
  • spring-ai-alibaba官方 Playground 示例之联网搜索代码解析