某apk算法逆向分析过程
对某app抓包时发现所有请求都进行了加密,便对加密算法简单分析了下。
0x00
在之前的app算法分析中都喜欢从登录处开始入手,但这次因为安装在模拟器 的 app 点登录后直接崩溃, so ,换了个入口点。 很 多 app 最终调用的算法函数名称存在 encrypt 、 decrypt 关键字, 用 jadx 反编译 apk , 全局搜索 关键字 "decrypt" 。
打开 SecurityCryptor 类,看到调用了 动态链接库 ( lib sgmain.so) 进行加密, 关键加 密算法应该就在这里了。
看起来似乎很顺利,记录下在这之前的曲折过程。
0x01
一开始莫名 的搜索了 “ decode ” 关键字。
看到了 DES 关键词 ,打开查看挺像是加解密函数。
搜索哪处调用了 util.y 函数
进一步追踪
加密函数 y.a(str,str2) 具有不同的参数,利用 xposed hook 加密函数 y .a(str,str2) 。
在意见反馈提交信息后并没有看到 hook 日志,也就是说思路错了,这函数不是 最终调用的加密函数。 倒是在 logcat中看到 url after encode 信息。
全局搜索 logcat 信息
关键函数部分 jadx 反编译不出来。
查看 smali 代码后有点 吃力, 使用 smali 动态调式分析。
0x03
smali 动态调试
对 app 进行二次打包,修改AndroidManifest.xml 中 application ,添加 android:debuggable="true" , 重新打包后发现 apk 对签名做了校验,网络通讯功能无法使用。
比较方便的方法 : • 安装 xposed框架(需要 root ,刷第三方 recovery ),之后安装 xinstaller 模 块 , 设 置 xinstaller 启 动专 家模式,在其他 设 置中开启 “ 调试应用 ” • 用模 拟 器 进 行 调试 , ro.debuggable默 认为 1 ,不需要二次 打 包。
Android Studio 动态调试 Smali
下载 Android Studio 插件 smalidea - 0.05.zip , 下载地址 :安装 smalidea
- 打开 Android Studio ,按 Alt+Ctrl+S 打开设置界面,点击 Preferences —— Plugins —— Install plugin from disk... —— 选择下载好的smalidea - 0.05.zip 。
- 重启 Android Studio 。
反编译 apk 用 apktool 反编译 apk , 将反编译好的工程导入 Android Studio , 导入完 Android studio 提示有个警告,如下图所示,点击Configure 。
在终端运行 ,开启 app 调试模式
adb shell am start - D - n com.bbk.appstore/.ui.AppStore 模拟器如下图所示的话说明成功 。
回到 android studio处,已经自动帮我们构建 好了调试环境,打开 smali ,找到 前面的关键函数处 下断点。
开始调试
在右下角的 Watches 窗口 可以添加变量, 查看各个寄存器的值,然后按下 f8 单 步运行这个 apk ,找到具体的加密函数,看 它到底是怎么加密流量的:
后续调试发现程序 调用了一个动态链接库进行加密,然后把加密结果再传递出来, 又 回到了开头 , 下面使用 Brida 调用 lib sgmain.so 的加解密函数,方便测试。
0x04 Brida
Brida 是一款Burp Suite 扩展,作为一座桥梁连接着 Burp Suite 以及 Frida , 以帮助用户修改应用程序与后端服务器之间的通信数据为己任。在分析移动端应 用时遇到应用使用随机密钥式对称加密,如果不知道其使用的密钥就无法篡改其 通信数据,通过Burp 也就无法对所有的交换数据进行更改了,于是 Brida 就这 样出现在我们视野中。
参考: id/86567 配置好 Frida 好后,启动 Brida 。
Brida 脚本代码如下:
burp 中使用右键调用 contextcustom2 对请求参数解密
0x05 后续
使用 Brida 插件,省去了分析 so 文件加密算法的时间 ,我们可以直接调用应 用中的方法,来对数据进行加 / 解密 ,而不用去逆向对应的方法。 为了更深入的分析 Android NDK 逆向 ,后续会 使用 IDA 动态调试 so 文件,进一步练手 。
开了一个新群,期待感兴趣的小伙伴加入进来,一起学习交流解决问题,吹水广告勿扰