好久不见,已经一个多月没有更新博客了,博主一直在忙于新的破解项目。在之前的博客中,我们学习了该如何去定位关键代码段,该如何去修改smali代码,以及对各种逆向工具的使用。那么在接下来的博客中,我们将会具体学习到Xposed在逆向工程中的使用和开发技巧。
关于Xposed,在博主最早的那几篇博客中已经有过介绍,以及给大家分享了使用Xposed拦截修改各种手机参数的知识。修改手机参数其实对Xposed来说是小菜一碟,真正能够让它大显神通的地方,还是我们的逆向工程。
那么Xposed在逆向工程中到底启到多大的作用?接下来你就会很快的理解到!在此说明一下,在明白了Xposed的威力后,大家还是不要放弃Smali代码的学习,毕竟Smali才是安卓逆向中最重要的知识,可不能贪恋Xposed而放松了Smali,这样对逆向技术的提高会造成很大的阻碍。个人建议是,Xposed在逆向工程中启到的辅助作用,进行相关的数据参数打印以及关键判断反法拦截设置即可,修改Smali代码对应用进行完全破解,还是最重要的。
正如我们的标题所示,今天我们会学习到使用Xposed的报错机制,进行快速获取程序执行动态,这可谓是逆向工程中的最强辅助!这里你可能会很好奇,报错机制?我们在程序的开发过程中,各种各样的报错我们屡见不鲜,所谓报错也就是程序中出现Bug导致程序崩溃进行打印出的一系列错误信息,我们经常通过错误信息来进行相关Bug的修改。那么在逆向工程中,错误信息通过巧妙利用,摇身一变就会成为程序进程通风报信的奸细,让逆向工程师很容易会获知程序一路发生了什么,调用了什么方法和类!正如你所示,Xposed大显神通从现在开始。
首先有请我们今天的教案对象,腾讯旗下的成品:应用宝。本次博客的技术讲解将会以应用宝为实验对象,博主这里使用的应用宝版本为:7.2.6。本次讲解感谢应用宝的辛苦付出,以及还要说一下哦,只学技术,搞破坏是不可以的!
应用宝是腾讯旗下的应用市场。腾讯作为国内的知名大厂,他们的安全团队实力不容小觑,在国际竞赛中,博主记得和360的安全团队不分上下的存在。应用宝背后的安全策略也是复杂异常,腾讯果然是非常注重产品的安全,使用常规手段去破解应用宝是难上加难。起先,博主尝试对应用宝进行了反编译操作,在二次打包的签名却最终失败,仔细看了一下错误信息,发现应用宝使用的热更新的相关技术,里面有特殊资源是经过网络进行动态加载上,导致在二次打包环节报资源丢失错误,二次改造估计是不行的了,于是博主只能把目光转向了使用Xposed进行相关破解工作。这里值的一提的是,应用宝并没有进行相关加壳,源码可以窥探到,可能腾讯非常自信和信赖它的安全技术,确实,他们安全做的超级棒!然而世界上并没有完美的代码,漏洞找找总会有的。博主在最后会对应用宝的安全策略进行点评,以及应用宝现阶段存在的安全漏洞,同时分享一些安全开发知识。
讲解从获取应用宝的上传数据开始。你可能会说获取上传数据有什么用,都是加密的信息,获取到了也是白搭。这里博主想说,加密?作为一名逆向工程师,什么加密都视为不存在的,因为我们在信息被加密之前就已经拿到手了!
这里我们的目标是获取到应用宝上传评论数据的信息。就此开始!
首先还是快速定位,进行页面元素解析:
这是评论页面,我们重点审查“提交”按钮:
通过解析元素我们可以知道,这里的“提交”按钮是一个TextView,Id值为:yc。看到这个yc就应该明白的到,这里的Id也是被混淆了,不得不表扬一下腾讯的安全策略,考虑的是方方面面。不过这个yc还是没问题的,我们拿到AndroidStudio中,对整个项目进行全局搜索:如图所示
好了嘛,一下子出现在这么多,我们想象中的内存地址并没有出现!想想也是,毕竟我们是对“yc” 这个字符串进行搜索,不存在特殊字符,任何一段代码中都可能包含yc这个字符串,这无疑是为全局搜索增加了很大的难度。这里就看出腾讯的良苦用心了,ID值给你进行混淆,会使得你在全局搜索中比较难以找到该ID下的内存地址,不得不说,这招真的很漂亮,没毛病!
那么这该怎么办?针对这种一出来好大对的,博主不再推荐使用这种全局搜索,转而直接去public.xml和R.java这两个文件中进行局部搜索!毕竟整个项目中所有的ID定义都是在这两个文件中。那么我们就去public.xml文件中局部搜索“yc”:
哈哈,马上就找到了,内存地址为:0x7f0d0802。这里还要注意以下,字段“type”的值一定要是“id”,因为我们毕竟找的是一个ID值,而不是别的。知道了内存地址,下面就好办了,对内存地址进行全局搜索:
emmm........这下又懵逼了,又一下子搜出这么多引用到的地方!这该怎么办?使用我们选多不选少的原则进行审视,发现都差不多啊,这就很棘手了。那么接下来就需要这么做,我们分析“提交”按钮的功能,很明显点击提交就会把评论内容和评分给提交到服务器,那么也就是说这里会有一个点击事件监听以及事件实现方法,回想我们开发过程中如何实现点击事件方法?重写onClick()方法,方法内是一个switch多分支选择,case R.id.XXX,.,,,,,,,如此一来,结合我们的smali语法中的switch方式,我们会轻易发现,确实有实现点击方法的语句:0x7f0d0802 -> :sswitch_0,那么我们直接就可以去看看针对控件“yc”的点击事件实现方法是什么,共有三处,还好工作量不是很大!
下面就使用jadx-gui来获取应用宝的源码,当然是已经混淆过的,还好没有加壳,加壳的话就更难搞了。很多人觉得逆向工程难以理解,难以学习掌握,原因是一方面Smali代码难以理解,再者就是这个混淆后的代码让人看得头大!确实,一堆莫名其妙的abcdefgh,,,,看着就会头疼!没有混淆的代码都会看不下去,更何况这一堆的abcd!大家都喜欢写代码,不喜欢看代码,这样下去其实很不利于自己的技术提高,经常回头看看自己写过的代码,你就会发现你的不足之处在哪里,放置自己的不足不管,无疑是对自己的扼杀。
好了,就让我们去看看这个混淆后的代码吧,首先是em类中的点击方法:
比较短,吸引我们注意的是代码this.a.n.a(xxx),我们点进去看一下这个a()方法实现:
果不其然,一个非常明显的网络请求类中的方法,继承有一个父类名称为BaseEngine,然后重写了父类中的请求成功和请求失败的两个方法,这里我们可以从类名中得知该请求类的功能:提交App报告的相关数据信息。该请求类并不是我们需要找的那个提交评论请求类,所以这个就抛弃,我们看下一个:bu类中点击事件的实现方法:
由于该实现方法比较长,这里不再用图片展示,使用代码的方式:
case R.id.yc:
this.a.d();
round = Math.round(this.a.b.getRating());
if (round <= 0) {
this.a.e.setText(R.string.gp);
this.a.e.setTextColor(-65536);
return;
}
Object obj = this.a.c.getText().toString();
if (!TextUtils.isEmpty(obj)) {
if (obj.length() > 100) {
this.a.f.setVisibility(0);
this.a.f.setText(R.string.h_);
return;
}
obj = null;
CharSequence text = this.a.f.getText();
if (text != null) {
obj = text.toString();
}
string = this.a.a.getString(R.string.h_);
if (this.a.f.getVisibility() == 0 && !TextUtils.isEmpty(r0) && r0.equals(string)) {
this.a.f.setVisibility(8);
}
}
if (this.a.y.n()) {
String str2;
if (TextUtils.isEmpty(this.a.c.getText().toString())) {
this.a.k.g = "";
this.a.c.setText("");
} else {
this.a.k.g = this.a.c.getText().toString().replaceAll("\n", "\t");
}
this.a.k.a = new Date().getTime() / 1000;
this.a.k.c = this.a.y.u();
this.a.k.b = round;
str = "";
if (!ai.a().d(this.a.E) || !ai.a().e(this.a.E)) {
LocalApkInfo localApkInfo = ApkResourceManager.getInstance().getLocalApkInfo(this.a.E);
if (localApkInfo != null) {
i = localApkInfo.mVersionCode;
str2 = localApkInfo.mVersionName;
} else {
return;
}
} else if (ai.a().a(this.a.E) != null) {
i = this.a.r;
str2 = this.a.s;
} else {
return;
}
if (i > 0) {
this.a.k.d = i;
this.a.k.i = LoginUtils.f().iconUrl;
if (this.a.j != null) {
this.a.j.a(this.a.c.getText().toString(), round, i, this.a.A);
}
if (this.a.l != null) {
if (i == this.a.r) {
this.a.l.a(this.a.k, this.a.o, this.a.p, str2, this.a.q, this.a.E);
} else {
this.a.l.a(this.a.k, this.a.o, -1, str2, this.a.q, this.a.E);
}
}
if ((this.a.z || this.a.A) && this.a.A && this.a.B != null) {
if (this.a.z) {
this.a.B.b = this.a.c.getText().toString();
this.a.C.a((Activity) this.a.a, this.a.B);
} else if (this.a.A && this.a.y.z()) {
this.a.B.m = this.a.c.getText().toString();
this.a.C.a(this.a.a, this.a.B, true, true);
}
}
this.a.dismiss();
return;
}
return;
}
this.a.h();
return;
我们可以看出这个bu类中的实现方式真的很长,那么他有没有可能是我们需要寻找的类呢?那就需要细致地进行逻辑分析了,最终我们确定一个关键方法为this.a.l.a(),我们点进去看a()方法的具体实现:
又是一个请求类,看下类名:评论App,没差了,就是这个请求类向服务器提交了我们的评论数据。分析他的特点,同样继承自BaseEngine,里面同样是重现了成功和失败两种方法,调用都是父类BaseEngine的请求方法。这里我们就可以猜想一下,BaseEngine请求类是应用宝代码中全体请求类的父类, 应用宝进行网络请求统一走的是BaseEngine中的请求方法,所以我们这里很有必要去看下BaseEngine这个类!
没有太多的东西,很明显的是BaseEngine类是一个抽象类,里面方法是线程开启,界面更新这些,继承自父类BaseModuleEngine,说明BaseEngine只是对BaseModuleEngine类做出的进一步的封装,真正请求网络的实现方法在BaseModuleEngine类中!我们主要看请求方法a(xxx,(byte) 1,xxx),点进去查看:
确实进入了 BaseModuleEngine类中,但是方法名好像不对,明明我们方法名是a,怎么跳转到send()方法呢?为了保险起见,我们去看以下Smali代码中是如何跳转的:
Smali代码:
invoke-virtual {p0, v0, v1, v2}, Lcom/tencent/pangu/module/AppReportEngine;->send(Lcom/qq/taf/jce/JceStruct;BLjava/lang/String;)I
move-result v0
return v0
从代码上就可以看出,确实是调用的为send()方法,这也难怪为什么我们点进去会为我们跳到send()方法。出现这种状况不好判断,但是逆向中有一个唯一标准:一切都以Smali代码为准!Smali代码中怎么写程序百分之百会怎么执行!
好了,到这里我们已经找出了提交数据的请求基类BaseModuleEngine,和请求方法send()方法,讲了这么多,你可能会说Xposed怎么还不出场!本片博客的主题难道不是讲Xposed的吗?!哈哈,别急,Xposed马上就登场!毕竟使用Xposed要明确的是目标类和目标方法,前面我们做了这么多的方法,就是为了找到目标类和目标方法!
下面就是Xposed大显神通的时刻!我们将会利用报错机制来完美展现程序的运行流程,重点就要来了!
前面我们已经做出了猜测,BaseModuleEngine类可能为应用宝代码中执行网络请求的一个基类,这样的话就可以利用报错机制来获取某一时刻是谁进行了网络请求!
划重点:只有满足多个子类执行同一个基类中的方法的时候,才能使用报错机制
进入Xposed的时刻,讲解该如何写报错机制!
xposed代码如下,目标类是BaseModuleEngine,目标方法是send:
private void setHookSend(final XC_LoadPackage.LoadPackageParam loadPackageParam){
final Class jceStruct= XposedHelpers.findClass("com.qq.taf.jce.JceStruct",loadPackageParam.classLoader);
XposedHelpers.findAndHookMethod("com.tencent.assistant.module.BaseModuleEngine", loadPackageParam.classLoader, "send", jceStruct, byte.class, String.class, new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
XposedBridge.log("抓到函数:BaseModuleEngine->send(JceStruct,byte,String)");
Class commentAppRequest=XposedHelpers.findClass("com.tencent.assistant.protocol.jce.CommentAppRequest",loadPackageParam.classLoader);
Field[] fs = commentAppRequest.getDeclaredFields();
for (Field field : fs) {
XposedBridge.log("参数"+field.getName()+"值为:"+field.get(param.args[0]));
}
});
}
这里眼尖的小伙伴肯定发现了:Java反射机制!没错,这里我们会使用到Java反射,目的是让它报错从而获取到是谁调用了网络请求!这里的JceStruct类是应用宝中自定义的类,因为这里它需要作为一个参数,所以我们需要拿到这个类,使用XposedHelpers.findClass()方法获取!
进入到拦截函数后,我们打印上传的数据,这里通过Java反射去调用访问变量值然后进行打印。这里打印CommentAppRequest类的变量值。如果发现此时的类不是CommentAppRequest类,那么就会进行报错,会告诉你此时的类是谁。就是通过这种报错机制才使得我们窥探程序运行状态有了可能,下面我们就运行Xposed看一下:
报错信息为:期望是CommentAppRequest类,但是拿到的却是StatReportRequest类,我们就会清楚这个时刻是StatReportRequest对应的那个请求类进行了请求!具体的类路径也很详细
经过这个你就会发现,原来报错信息还可以这样使用!真的是很方便很快捷的获取有没有!真的是谁进行了网络请求一目了然。整个运行状态随时掌握。
这样目的就是会大大降低逆向的时间成本,可以快速而准确的切中要害。Xposed在逆向中的作用使它成为逆向工程师的最佳辅助!后面的博客中,博主会继续带大家领略Xposed的强大之处,各种特殊的技巧,大家还要记得好好学习昂!
本篇博文到此结束,如有引用请标明出处!有不同的请评论留言,我会一一进行解答!