菜鸟第一次挑战apk逆向,结果整得怀疑人生,终于知道android apk加密的重要性
最近准备从x86上转移到linux上, 于是乎弄了个手游来玩, 正巧朋友推荐了一个修改软件,类似于八门神器、CE,用于搜索修改游戏数据,于是抱着好奇的心理初步研究了下该软件的原理:http://cloud.kiwisec.com/img/kws_web/ueditor/909680605673951232.png研究了下软件, 搜索,修改,暂停游戏,实现BT都有,比较齐全,猜测应该核心功能是基于SO上实现的。打开AndroidKiller.exe,拖进APK,很顺利的反编译完成在目录结构并没有发现so相关的东西, 搜索LoadLibrary也一无所获,看下进程信息我擦,竟然没有进程信息。。。纠结了。先通过smail看它现有的信息吧。搜索它的catch_.me_.if_.you_.can_,也依然一无所获, 那么搜索它的版本号呢,发现了:这里定义的版本号,继续往下浏览, 发现:这里的代码,通过插入输出信息,可以知道,它这里获取了包名,接着原名被替换掉了,至此原来不是没有找到,而是被替换了,所以按照原来的去找就肯定找不到了。此举做法,应该是防止壳或者检测类软件检测它的进程信息。接着继续看它的启动信息, 因为该软件能kill掉其他进程,所以它可能是守护进程。在这里输出exec的参数,可以发现一个关键性的点:http://cloud.kiwisec.com/img/kws_web/ueditor/909681320383352832.png好家伙果然有so 文件 ,那么目录中没有,这里又加载了,说明它的so是通过下载流dump出来的。继续往下看,发现:http://cloud.kiwisec.com/img/kws_web/ueditor/909681443310014464.png到这里OK,可以在该路径下把so文件给pull出来。分析so部分原来它用了ptrace该函数实现注入游戏进程。通过这两个部分,同样可以对它实行一些检测,比如检测进程在被注入的情况下,进程状态, 检测TracerPid的值, 被注入调试,该值不为0。菜鸟第一次挑战apk,结果整得怀疑人生,终于知道android apk加密的重要性了。apk如果不做防护,一个菜鸟花一点时间就能破解它,找个在线加密工具做防护还是很必要的.表示看不懂{:huffy:}{:huffy:}{:huffy:} 星雨发表于 2017-9-18 18:17
表示看不懂
{:smile:}{:3_43:}不懂的地方可以问我。 技术那些事 发表于 2017-9-22 11:20
不懂的地方可以问我。
{:3_41:}{:3_50:}{:3_49:} 工作开心快乐,提前祝各位国庆节、中秋节快乐。 准备看看,简直是懵的{:cry:}{:cry:} 虚无游神 发表于 2017-10-7 21:32
准备看看,简直是懵的
{:smile:}哪里懵了? 大佬!收徒嘛,给学费的那种!价格小贵也可以接受阿!
想学安卓APP 协议开发阿 能不能把你的那个软件发给我{:3_42:}
页:
[1]