app逆向| xhs加密shield

目录

• [java分析]
• [编写unidbg]
• [so分析]
• • [so去字符串混淆和修复]
• • [静态分析和unidbg辅助分析]
• [算法还原]

⛳️ java分析

首先找到java层加密的地方，我是通过addheader来寻找到sheile添加进来的

public interface Interceptor {

    public interface Chain {
        int connectTimeoutMillis();

        Connection connection();

        Response proceed(Request request) throws IOException;

        int readTimeoutMillis();

        Request request();

        int writeTimeoutMillis();
    }

    Response intercept(Chain chain) throws IOException;
}
// 向上找发现com.xingin.shield.http.XhsHttpInterceptor
    public Response intercept(Interceptor.Chain chain) throws IOException {
        Response response;
        long currentTimeMillis = ContextHolder.sJavaLogEnabled ? System.currentTimeMillis() : 0;
        C25958b bVar = this.predicate;
        if (bVar == null || bVar.test(chain.request())) {
            response = intercept(chain, this.cPtr);
        } else {
            response = chain.proceed(chain.request());
        }
        if (ContextHolder.sJavaLogEnabled) {
            String str = TAG;
            StringBuilder sb = new StringBuilder();
            sb.append("cost");
            sb.append(System.currentTimeMillis() - currentTimeMillis);
            Log.i(str, sb.toString());
        }
        return response;
    }

    public native Response intercept(Interceptor.Chain chain, long j) throws IOException;

⛳️ 编写unidbg

通过分析是先后调用initializeNative、initialize、intercept函数，然后使用懒神的脚本，发现initializeNative、initialize、intercept在libxyass.so中，偏移地址为0x73be5、0x73279、0x73465

然后使用龙哥的unidbg脚本运行起来

⛳️ so分析

unidbg调通后打开so，跳到所需的地址中,发现未知的乱码

按ctrl+s

其实有经验的人会知道seg000、datadiv_decode是字符串混淆

so去字符串混淆和修复

然后继续使用懒神的脚本，把so dump出来，然后修复

修复so命令 SoFixer64/SoFixer32 -m [so的base地址] -s [已经dump出来的so] -o [修复后存放的地址]

静态分析和unidbg辅助分析

根据java调用的方法，先查看initializeNative、initialize、intercept方法
0x73be5、0x73279、0x73465

查看每个参数，发现sheild字符串


一个个的慢慢对应，继续看下一个函数initialize，结合unidbg

继续跟进，发现进入sub_CD3C，点进去看到sub_27E48 --> sub_2D078 --> sub_2C388/sub_2CC6C


根据加密的逻辑发现这是一个魔改的aes, 传进device_id, hmac_key,然后查看整个函数返回的值继续观察

接着查看intercept,逻辑主要是用上面aes出来的参数与0x36和0x5c进行eor

然后继续跟进发现是一个魔改的HMAC-MD5，发现会根据aes出来的结果的第一个值来获取不同的表来进行加密，可以使用unidbg hook来更改值

md5-update

md5加密逻辑

然后利用unidbg调试，魔改aes把hmac_key解密出来的值拿去分别与0x36和0x5c进行异或,然后根据魔改aes把hmac_key解密出来的值第一位获取相对应的表去加密md5。


异或0x36加密后

0x5c异或加密后

继续跟踪发现拿第一次加密后的作为这次的四个常量值，并且加密参数是urlpath + urlParam + xy_common_params + xy_platform_info

循环加密后，后面不够64位的补参处理逻辑

就是把剩下不够64位的末尾添加0x80和添加加密出来的第四、五位int，然后在去进行md5加密

继续分析，全部md5后截取前16位字节，然后再函数sub_2C218生成一个异或表,这个函数出来的结果发现就是结果的一大部分


加密函数前面的参数主要逻辑在这里

到这里算法已经完全出来

⛳️ 算法还原

根据上面的步骤一步步的还原

⛳️ 总结

该算法需要对标准算法有一定的了解，还需要一定基础
本文仅供学习参考，如有问题询问或有需要可留言，或加q 1135534792