李跳跳使用、逆向、脱壳和原理介绍

加我拉你入群 黑糖安全公众号
李跳跳使用、逆向、脱壳和原理介绍_第1张图片 李跳跳使用、逆向、脱壳和原理介绍_第2张图片

前言

你可以独善其身 但你不能兼济天下

简介

其实这部分是使用教程,github上面有备份的下载链接,只是可能不更新了,V2.2安装之后
李跳跳使用、逆向、脱壳和原理介绍_第3张图片
一把快刀,很简洁的界面
李跳跳使用、逆向、脱壳和原理介绍_第4张图片
点击界面里面的开启按钮即可,我这里就是在无障碍里面设置了
李跳跳使用、逆向、脱壳和原理介绍_第5张图片
现在打开淘宝京东之后就只会看到一闪而过或者没有开屏广告的情况了

反编译

转成jar
李跳跳使用、逆向、脱壳和原理介绍_第6张图片
代码如下
李跳跳使用、逆向、脱壳和原理介绍_第7张图片
解压APK之后目录为
李跳跳使用、逆向、脱壳和原理介绍_第8张图片
蒽…还有lib库和kotlin文件,怎么还有JNI编程啊~
res文件夹里面的文件直接乱成一堆了,反编译问题
李跳跳使用、逆向、脱壳和原理介绍_第9张图片
考虑换一个工具来修复静态文件 apktool
李跳跳使用、逆向、脱壳和原理介绍_第10张图片
然后就得到了正常的 res,终于整洁了一点orz
李跳跳使用、逆向、脱壳和原理介绍_第11张图片
源代码的话还是看从 jd-gui 解析出来的吧 各部分比较完整
结果发现进行了加固,其实我之前是没有脱加固APK的经验的,为啥发现了加固 是因为我把代码放到自己的Android工程之后看了半天没看懂,感觉就是实现了一个类加载器
李跳跳使用、逆向、脱壳和原理介绍_第12张图片
主工程代码就只是去继承 WrapperProxyApplication 抽象类,给我整不会了,我以为这是什么高端写法
主工程还原为

public class MyWrapperProxyApplication extends WrapperProxyApplication {
    protected void initProxyApplication(Context paramContext) {
        String str = (paramContext.getApplicationInfo()).sourceDir;
        ZipFile zipFile = null;
        try {
            ZipFile zipFile1 = new ZipFile(str);
            zipFile = zipFile1;
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        if (zipFile == null) {
            Process.killProcess(Process.myPid());
            System.exit(0);
        }
        Util.PrepareSecurefiles(paramContext, zipFile);
        try {
            zipFile.close();
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        System.loadLibrary(Util.libname);
    }

    public void onCreate() {
        super.onCreate();
    }
}

然后我觉得这个类加载器可能是一个公用库 结果就
李跳跳使用、逆向、脱壳和原理介绍_第13张图片
原来是腾讯的,还是逆向APK的经验太少了orz
为什么李跳跳要加壳,应该也是为了防止应用商店或者手机厂商那批人通过特征检测到APK然后报毒
为了防止我自己看错 用工具检测一下 结果PKID居然检测不出来,额
李跳跳使用、逆向、脱壳和原理介绍_第14张图片
打开MT管理器
李跳跳使用、逆向、脱壳和原理介绍_第15张图片
可以看到确实腾讯御安全

判断加壳

手动判断是腾讯御安全加壳的特征有三种方式

step1

将APK解压缩
李跳跳使用、逆向、脱壳和原理介绍_第16张图片

step2 特征一

根目录下存在 tencent_stub 文件
李跳跳使用、逆向、脱壳和原理介绍_第17张图片

step3 特征二

assets目录存在

  • 0OO00l111l1l
  • o0oooOO0ooOo.dat
  • t86
  • tosversion

李跳跳使用、逆向、脱壳和原理介绍_第18张图片

step4 特征三

lib文件夹下存在

  • libshell-super.2019.so
  • libshella-x.so (x代表版本)

李跳跳使用、逆向、脱壳和原理介绍_第19张图片

MT脱壳

查了一下资料怎么都需要用MT管理器~
MT管理器使用文档

https://mt2.cn/guide/

adb 安装到测试机上面
李跳跳使用、逆向、脱壳和原理介绍_第20张图片
运行之
李跳跳使用、逆向、脱壳和原理介绍_第21张图片
接下来安装李跳跳
李跳跳使用、逆向、脱壳和原理介绍_第22张图片
在MT管理器里面安装包提取寻找李跳跳
李跳跳使用、逆向、脱壳和原理介绍_第23张图片
可以看到确实是使用腾讯御安全进行加壳的
李跳跳使用、逆向、脱壳和原理介绍_第24张图片
点击dex选择dex++
李跳跳使用、逆向、脱壳和原理介绍_第25张图片
找到这个东西
李跳跳使用、逆向、脱壳和原理介绍_第26张图片
复制包名
李跳跳使用、逆向、脱壳和原理介绍_第27张图片
粘贴到 AndroidManifest.xml 里面,保存
用blackdex脱dex的壳
李跳跳使用、逆向、脱壳和原理介绍_第28张图片
然后到MT管理器 ,右边是已脱的
李跳跳使用、逆向、脱壳和原理介绍_第29张图片
删除左边的classes.dex,把右边的移过去,然后保存
已经实现了脱壳
李跳跳使用、逆向、脱壳和原理介绍_第30张图片
最后安装不上 orz ,流泪了
李跳跳使用、逆向、脱壳和原理介绍_第31张图片
难道是我工具用的有问题~

frida

只好掏出大杀器 frida 了

frida是平台原生app的Greasemonkey,说的专业一点,就是一种动态插桩工具,可以插入一些代码到原生app的内存空间去,(动态地监视和修改其行为),这些原生平台可以是Win、Mac、Linux、Android或者iOS。而且frida还是开源的

Frida官网:https://www.frida.re/
Frida源码:https://github.com/frida

安装frida

windows安装客户端

pip3 install frida

image.png

安装frida-tools

pip3 install frida-tools

李跳跳使用、逆向、脱壳和原理介绍_第32张图片
安装 frida-dexdump

pip3 install frida-dexdump

安装成功

frida --version

李跳跳使用、逆向、脱壳和原理介绍_第33张图片

安卓安装frida服务端

查看Android手机的cpu架构

adb shell getprop ro.product.cpu.abi

李跳跳使用、逆向、脱壳和原理介绍_第34张图片
根据CPU版本下载对应的Frida server https://github.com/frida/frida/releases
李跳跳使用、逆向、脱壳和原理介绍_第35张图片
下载解压推到手机目录下
李跳跳使用、逆向、脱壳和原理介绍_第36张图片
设置端口转发

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

李跳跳使用、逆向、脱壳和原理介绍_第37张图片
设置权限并运行

chmod 777 frida-server64
./frida-server64

李跳跳使用、逆向、脱壳和原理介绍_第38张图片
出现报错

./frida-server64

{“type”:“error”,“description”:“Error: invalid address”,“stack”:“Error: invalid address\n at Object.value [as patchCode] (frida/runtime/core.js:207:1)\n at ln (frida/node_modules/frida-java-bridge/lib/android.js:1209:1)\n at pn.activate (frida/node_modules/frida-java-bridge/lib/android.js:1275:1)\n at mn.replace (frida/node_modules/frida-java-bridge/lib/android.js:1323:1)\n at Function.set [as implementation] (frida/node_modules/frida-java-bridge/lib/class-factory.js:1185:1)\n at Function.set [as implementation] (frida/node_modules/frida-java-bridge/lib/class-factory.js:1099:1)\n at installLaunchTimeoutRemovalInstrumentation (/internal-agent.js:424:24)\n at init (/internal-agent.js:51:3)\n at c.perform (frida/node_modules/frida-java-bridge/lib/vm.js:12:1)\n at _performPendingVmOps (frida/node_modules/frida-java-bridge/index.js:250:1)”,“fileName”:“frida/runtime/core.js”,“lineNumber”:207,“columnNumber”:1}

查看当前是否关闭了SELINUX

getenforce

确实开着的
李跳跳使用、逆向、脱壳和原理介绍_第39张图片

setenforce 0

关闭selinux,运行frida-server
然后重新打开一个shell查看是否存在
image.png
运行成功

frida升级

pip3 install -U frida
pip3 install -U frida-tools

frida脱壳

手机上打开需要脱壳的软件
李跳跳使用、逆向、脱壳和原理介绍_第40张图片
adb shell启动frida-server
李跳跳使用、逆向、脱壳和原理介绍_第41张图片
如果你跟我一样配置了python script的环境变量,那就可以直接在命令行启动frida-dexdump
李跳跳使用、逆向、脱壳和原理介绍_第42张图片
输入命令 frida-dexdump -FU,如下图(参数说明,参数 U 是usb,参数 F是前台活动app)
李跳跳使用、逆向、脱壳和原理介绍_第43张图片
得到脱壳的dex文件
李跳跳使用、逆向、脱壳和原理介绍_第44张图片
检查之后发现是classes.dex为源dex文件

还原APK

脱壳之后对APK进行还原
用baksmali工具,把dex转换成smali

java -jar baksmali.jar d classes.dex

李跳跳使用、逆向、脱壳和原理介绍_第45张图片
用 apktool d ./com.xxx.mobile.apk,反编译,得到加固的apk解压包
李跳跳使用、逆向、脱壳和原理介绍_第46张图片
替换 smali 文件夹,用前面的 smali 文件夹替换掉 解压包中的 smali,替换
李跳跳使用、逆向、脱壳和原理介绍_第47张图片
打开原文件的dex,找到com/wrapper/proxyapplication/WrapperProxyApplication
进去复制入口后到AndroidManifest.xml中替换入口
这里是原本的AndroidManifest.xml
李跳跳使用、逆向、脱壳和原理介绍_第48张图片
入口我直接用MT管理器看吧
李跳跳使用、逆向、脱壳和原理介绍_第49张图片
我们需要替换成 hello.litiaotiao.app.LttApp
李跳跳使用、逆向、脱壳和原理介绍_第50张图片
然后删除腾讯加固的相关文件,一般在assets、lib目录下
也就是我们前面说的那些特征

  • tencent_stub
  • tosversion
  • 0OO00l111l1l
  • o0oooOO0ooOo
  • 文件名带有shell的

用 apktool b com.xxx.mobile 编译apk
最后就是使用AndroidKiller进行重打包
李跳跳使用、逆向、脱壳和原理介绍_第51张图片
打包完成进行安装即可
结果还是安装不了
image.png
菜是原罪~

原理

利用安卓系统的无障碍权限,帮助用户自动点击广告上的跳过按钮

关于无障碍服务

AccessibilityService(无障碍服务)是 Android 操作系统中的一个功能,旨在帮助用户具有视觉、听觉或运动上的障碍更轻松地使用设备。它是 Android 提供的一种特殊服务,可以接收设备上发生的各种事件,并提供自定义的反馈或处理方式。

AccessibilityService 可以在用户界面上监控和操作应用程序,并为用户提供额外的辅助功能。它可以接收系统级别的事件,如按键、触摸、通知等,还可以访问应用程序的视图层次结构,以便分析和操作应用程序的界面元素

李跳跳的广告跳过包含了两个部分

  • 开屏广告跳过
  • 应用内弹窗跳过

开屏广告跳过

有一个简单的规则 也就是字符串 跳过
逆向李跳跳的源代码查看规则
hashSet里面存储了一些关键字
李跳跳使用、逆向、脱壳和原理介绍_第52张图片
另外还有在文件内部的 2131755075 位置 ,转成十六进制是 7F100043
李跳跳使用、逆向、脱壳和原理介绍_第53张图片
可以看出这里的hashSet里面装的就是开屏跳过的关键字
李跳跳使用、逆向、脱壳和原理介绍_第54张图片
但是这里有两个是从文件读取的,转换一下可以在public.xml里面找到
李跳跳使用、逆向、脱壳和原理介绍_第55张图片
在李跳跳掘金的主页中可以找到答案
李跳跳使用、逆向、脱壳和原理介绍_第56张图片
所以这里是用户自己导入的规则,这里我们直接把这几个跳过的关键字都加到我们的逻辑里面,以后遇到了其他的再处理
翻翻xml文件里面还发现有一个白名单列表
李跳跳使用、逆向、脱壳和原理介绍_第57张图片
应该是为了节省内存进行了一次包名判断
所以对于开屏广告的检测核心是

@Override
public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
    onAccessibilityEventPre();
    AccessibilityNodeInfo source = accessibilityEvent.getSource();
    if (source == null)
        return;

    // 判断是否开启了检测
    if (!mMKV.decodeBool(SWITCHMAIN_KEY))
        return;

    CharSequence packageName = accessibilityEvent.getPackageName();
    if (packageName == null)
        return ;
    String currentPackageName = packageName.toString();

    // 读取白名单数组
    String[] whiteListArray = getResources().getStringArray(R.array.whitelist);
    List<String> whiteList = Arrays.asList(whiteListArray);

    if (whiteList.contains(currentPackageName)) {
        return; // 如果是白名单内的包名,则不执行后续的检测逻辑
    }

    for (int i = 0; i < source.getChildCount(); i++) {
        AccessibilityNodeInfo childNode = source.getChild(i);
        if (childNode.getText() == null) {
            continue;
        }

        String text = childNode.getText().toString();

        for (String keyword : keywords) {
            if (text.contains(keyword)) {
                Log.i(TAG, "检测到开屏广告关键字:" + keyword);
                childNode.performAction(AccessibilityNodeInfo.ACTION_CLICK);
                Toast.makeText(this, SKIP_PROMPT, Toast.LENGTH_LONG).show();
                break;
            }
        }
    }
}

往 AndroidManifest(清单文件)上配置:

<service android:exported="false" android:label="♥张得乖1.0" android:name="hello.beautifulz.app.ZdgService" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE">
    <intent-filter>
        <action android:name="android.accessibilityservice.AccessibilityService"/>
    intent-filter>
    <meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
service>

label是这个无障碍服务的名称
serviceconfig 配置文件如下


<accessibility-service android:description="@string/accessibility_service_description" android:settingsActivity="hello.beautifulz.app.MainActivity" android:accessibilityEventTypes="typeAllMask" android:accessibilityFeedbackType="feedbackGeneric" android:notificationTimeout="100" android:accessibilityFlags="flagDefault" android:canRetrieveWindowContent="true" android:canPerformGestures="true" android:isAccessibilityTool="true"
  xmlns:android="http://schemas.android.com/apk/res/android" />

应用内弹窗跳过

第二种是应用内的弹窗规则
李跳跳使用、逆向、脱壳和原理介绍_第58张图片
关于这一点在 https://github.com/Snoopy1866/LiTiaotiao-Custom-Rules 上面有相关规则
李跳跳使用、逆向、脱壳和原理介绍_第59张图片
跳过应用内的弹窗需要自己编写解析规则的框架,类似于下面这种

public class MyAccessibilityService extends AccessibilityService {

    @Override
    public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
        // 获取弹窗内容
        CharSequence popupContent = accessibilityEvent.getText();
        if (popupContent != null) {
            String popupText = popupContent.toString();

            // 调用规则匹配函数
            boolean matched = checkPopupRules(popupText);

            if (matched) {
                // 执行关闭弹窗的操作,例如执行返回键动作
                performGlobalAction(GLOBAL_ACTION_BACK);
            }
        }
    }

    private boolean checkPopupRules(String popupText) {
        // 将规则字符串解析为规则对象,可以使用 JSON 或其他格式进行解析
        // 这里假设规则已经解析为 Rule 对象

        Rule rule = new Rule("+检测到&-用户体验", "=以后再说");

        // 进行规则匹配判断
        if (popupText.startsWith(rule.getKeywordStart()) &&
            popupText.endsWith(rule.getKeywordEnd())) {
            if (rule.getAction().equals("=以后再说")) {
                return true;
            }
        }

        return false;
    }

    // 其他回调方法...

}

这个暂时作为保留节目吧~

后台保活

APP的后台保活是一门智慧~为了让APP一直在后台运行来跳过广告,我们需要让它不被系统杀死
无障碍服务本身权限就很大,借助无障碍服务我们来实现强力保活,可以从以下几个方向入手:

  • 前台服务保活
  • 申请REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 忽略电池优化开关
  • 开启自启动无障碍服务

这里就不再详细说明了

效果

最后实现的小demo可以说是李跳跳的闺蜜了
李跳跳使用、逆向、脱壳和原理介绍_第60张图片
把里面的很多地方都裁剪了,只留下了开启广告跳过的按钮
李跳跳使用、逆向、脱壳和原理介绍_第61张图片
这个时候再打开知乎就可以看到有跳过效果了

参考链接

  • https://mp.weixin.qq.com/s/MvpIvmQtha0glvvcApZqsA
  • https://www.cnblogs.com/gezifeiyang/p/16229721.html
  • https://www.52pojie.cn/thread-1453091-1-1.html
  • https://www.freebuf.com/articles/system/190565.html
  • https://www.cnblogs.com/gezifeiyang/p/16207042.html
  • https://www.jianshu.com/p/c349471bdef7
  • https://juejin.cn/post/6938590373740544007
  • https://www.bilibili.com/read/cv12200073/
  • https://www.bilibili.com/read/cv11826368/
  • 还有很多其他的资料

你可能感兴趣的:(安全)