目录
0x00 相关工具及环境
0x01 APP逆向 - 数据修改
0x02 APP逆向 - 逻辑修改
0x03 APP逆向 - 视图修改
希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!
个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser's Blog
0x00 相关工具及环境
1、安卓模拟器(最好root的真机)
2、Magisk&XP&LSP框架 HOOK环境
安装参考:https://blog.csdn.net/danran550/article/details/132256027
3、Jadx-Gui 反编译Java代码查看器
4、ApkScan-PKID 查壳工具
5、MT管理器&NP管理器 打包签名综合类
6、开发组手&开发者组手 信息获取综合类
7、算法组手&XP&LSP框架模块 常见HOOK
8、Smali语法查询 Smali逻辑修改辅助
9、脱壳相关:https://mp.weixin.qq.com/s/poQPuvaQPadQxRu_WGvy1A**资源下载地址:https://pan.baidu.com/s/1IGPNSt0U973Pki7tiOZw5A?pwd=8888
0x01 APP逆向 - 数据修改
wuaipojie第一关:根据关卡要求尝试替换App中的文字
使用MT管理器提取wuaipojie安装包,搜索"hello 52pojie"
xml后缀是APK的应用清单信息,它描述了应用的名字、版本、权限、引用的库文件等等信息。反编译Jf.xml后继续搜索"hello 52pojie",替换文字。
保存退出,选择自动签名,安装新打包的wuaipojie,可以看到文字已被替换。
如果想要替换下面的俄语,需要用到开发者助手,点击开始,这样便可以复制App中的俄语
同样MT管理器搜索定位到resources.arsc,是编译后的二进制资源文件(一个映射表),映射着资源和id,通过id可以定位到对应资源位置。
使用Arsc编辑器打开继续搜索俄语,替换文字,保存退出并签名打包安装,可以看到文字已被替换
0x02 APP逆向 - 逻辑修改
wuaipojie第二关:考虑绕过限制做到不需要硬币也可以三连
MT管理器搜索"请先获取10个硬币哦"定位到classes.dex,这是Java源码编译后生成的Java字节码文件,是APK运行的主要逻辑。
使用Dex编辑器++继续搜索定位到具体Smali代码,如下:
Smali代码我看着比较困难,所以使用NP管理器将其转换为Java代码查看(MT的要收费)。
整个Java代码逻辑大致为长按会判断intRef值是否大于10,大于则执行三连操作,否则弹窗提示。
于是来到MT这边的Smali代码,搜索定位0xa(也就是16进制的10) ,得知寄存器v0值为0xa。
搜索v0出现的位置,即下面的if判断:if-ge p0, v0, :cond_15
也就是说,如果p0大于等于v0,那么就跳到cond_15,猜测cond_15就是执行三连,于是我们可以考虑将判断条件-ge改为-le,也就是硬币小于等于10才执行三连即可。
保存退出,重新加签打包安装,可以看到硬币数为0也可以执行三连操作了。
0x03 APP逆向 - 视图修改
wuaipojie第三关:点开后过一会儿就会弹窗广告,按返回键无效,只能选择前往论坛或退出软件,考虑屏蔽广告。
需要用到MT或NP的Activity记录功能,抓取并复制广告的类名com.zj.wuaipojie.ui.AdActivity
在classes.dex搜索类名com.zj.wuaipojie.ui.AdActivity
NP管理器将Smali转为Java代码,发现loadAd方法设置弹窗延迟为3000ms
在MT这边Smali代码定位0xbb8(16进制的3000),这里Smali代码将0xbb8赋值给寄存器v2,然后将v2传入调用sendEmptyMessageDelayed方法,猜测就是延迟的毫秒数3000ms。考虑将v2赋值0x0,是不是就不会弹窗了呢?
保存编译退出,加签安装,发现不再弹窗广告。
屏蔽广告的操作还可以通过hook脚本操作,使用Magisk Delta、LSPosed、算法助手
可以看到广告同样也是不弹的