李跳跳使用、逆向、脱壳和原理介绍

admin 2024年5月19日23:33:12评论30 views字数 8927阅读29分45秒阅读模式

前言

你可以独善其身 但你不能兼济天下

简介

其实这部分是使用教程,github上面有备份的下载链接,只是可能不更新了,V2.2安装之后
李跳跳使用、逆向、脱壳和原理介绍
一把快刀,很简洁的界面
李跳跳使用、逆向、脱壳和原理介绍
点击界面里面的开启按钮即可,我这里就是在无障碍里面设置了
李跳跳使用、逆向、脱壳和原理介绍
现在打开淘宝京东之后就只会看到一闪而过或者没有开屏广告的情况了

反编译

转成jar
李跳跳使用、逆向、脱壳和原理介绍
代码如下
李跳跳使用、逆向、脱壳和原理介绍
解压APK之后目录为
李跳跳使用、逆向、脱壳和原理介绍
蒽....还有lib库和kotlin文件,怎么还有JNI编程啊~
res文件夹里面的文件直接乱成一堆了,反编译问题
李跳跳使用、逆向、脱壳和原理介绍
考虑换一个工具来修复静态文件 apktool
李跳跳使用、逆向、脱壳和原理介绍
然后就得到了正常的 res,终于整洁了一点orz
李跳跳使用、逆向、脱壳和原理介绍
源代码的话还是看从 jd-gui 解析出来的吧 各部分比较完整
结果发现进行了加固,其实我之前是没有脱加固APK的经验的,为啥发现了加固 是因为我把代码放到自己的Android工程之后看了半天没看懂,感觉就是实现了一个类加载器
李跳跳使用、逆向、脱壳和原理介绍
主工程代码就只是去继承 WrapperProxyApplication 抽象类,给我整不会了,我以为这是什么高端写法
主工程还原为

public class MyWrapperProxyApplication extends WrapperProxyApplication {
    protected void initProxyApplication(Context paramContext) {
        String str = (paramContext.getApplicationInfo()).sourceDir;
        ZipFile zipFile = null;
        try {
            ZipFile zipFile1 = new ZipFile(str);
            zipFile = zipFile1;
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        if (zipFile == null) {
            Process.killProcess(Process.myPid());
            System.exit(0);
        }
        Util.PrepareSecurefiles(paramContext, zipFile);
        try {
            zipFile.close();
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        System.loadLibrary(Util.libname);
    }

    public void onCreate() {
        super.onCreate();
    }
}

然后我觉得这个类加载器可能是一个公用库 结果就
李跳跳使用、逆向、脱壳和原理介绍
原来是腾讯的,还是逆向APK的经验太少了orz
为什么李跳跳要加壳,应该也是为了防止应用商店或者手机厂商那批人通过特征检测到APK然后报毒
为了防止我自己看错 用工具检测一下 结果PKID居然检测不出来,额
李跳跳使用、逆向、脱壳和原理介绍
打开MT管理器
李跳跳使用、逆向、脱壳和原理介绍
可以看到确实腾讯御安全

判断加壳

手动判断是腾讯御安全加壳的特征有三种方式

step1

将APK解压缩
李跳跳使用、逆向、脱壳和原理介绍

step2 特征一

根目录下存在 tencent_stub 文件
李跳跳使用、逆向、脱壳和原理介绍

step3 特征二

assets目录存在

  • 0OO00l111l1l
  • o0oooOO0ooOo.dat
  • t86
  • tosversion
李跳跳使用、逆向、脱壳和原理介绍
image.png

step4 特征三

lib文件夹下存在

  • libshell-super.2019.so
  • libshella-x.so (x代表版本)
李跳跳使用、逆向、脱壳和原理介绍
image.png

MT脱壳

查了一下资料怎么都需要用MT管理器~
MT管理器使用文档

https://mt2.cn/guide/

adb 安装到测试机上面
李跳跳使用、逆向、脱壳和原理介绍
运行之
李跳跳使用、逆向、脱壳和原理介绍
接下来安装李跳跳
李跳跳使用、逆向、脱壳和原理介绍
在MT管理器里面安装包提取寻找李跳跳
李跳跳使用、逆向、脱壳和原理介绍
可以看到确实是使用腾讯御安全进行加壳的
李跳跳使用、逆向、脱壳和原理介绍
点击dex选择dex++
李跳跳使用、逆向、脱壳和原理介绍
找到这个东西
李跳跳使用、逆向、脱壳和原理介绍
复制包名
李跳跳使用、逆向、脱壳和原理介绍
粘贴到 AndroidManifest.xml 里面,保存
用blackdex脱dex的壳
李跳跳使用、逆向、脱壳和原理介绍
然后到MT管理器 ,右边是已脱的
李跳跳使用、逆向、脱壳和原理介绍
删除左边的classes.dex,把右边的移过去,然后保存
已经实现了脱壳
李跳跳使用、逆向、脱壳和原理介绍
最后安装不上 orz ,流泪了
李跳跳使用、逆向、脱壳和原理介绍
难道是我工具用的有问题~

frida

只好掏出大杀器 frida 了

frida是平台原生app的Greasemonkey,说的专业一点,就是一种动态插桩工具,可以插入一些代码到原生app的内存空间去,(动态地监视和修改其行为),这些原生平台可以是Win、Mac、Linux、Android或者iOS。而且frida还是开源的

Frida官网:https://www.frida.re/
Frida源码:https://github.com/frida

安装frida

windows安装客户端

pip3 install frida

李跳跳使用、逆向、脱壳和原理介绍
image.png

安装frida-tools

pip3 install frida-tools

李跳跳使用、逆向、脱壳和原理介绍
安装 frida-dexdump

pip3 install frida-dexdump

安装成功

frida --version

李跳跳使用、逆向、脱壳和原理介绍
image.png

安卓安装frida服务端

查看Android手机的cpu架构

adb shell getprop ro.product.cpu.abi

李跳跳使用、逆向、脱壳和原理介绍
根据CPU版本下载对应的Frida server https://github.com/frida/frida/releases
李跳跳使用、逆向、脱壳和原理介绍
下载解压推到手机目录下
李跳跳使用、逆向、脱壳和原理介绍
设置端口转发

adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043

李跳跳使用、逆向、脱壳和原理介绍
设置权限并运行

chmod 777 frida-server64 ./frida-server64

李跳跳使用、逆向、脱壳和原理介绍
出现报错

./frida-server64

{"type":"error","description":"Error: invalid address","stack":"Error: invalid addressn    at Object.value [as patchCode] (frida/runtime/core.js:207:1)n    at ln (frida/node_modules/frida-java-bridge/lib/android.js:1209:1)n    at pn.activate (frida/node_modules/frida-java-bridge/lib/android.js:1275:1)n    at mn.replace (frida/node_modules/frida-java-bridge/lib/android.js:1323:1)n    at Function.set [as implementation] (frida/node_modules/frida-java-bridge/lib/class-factory.js:1185:1)n    at Function.set [as implementation] (frida/node_modules/frida-java-bridge/lib/class-factory.js:1099:1)n    at installLaunchTimeoutRemovalInstrumentation (/internal-agent.js:424:24)n    at init (/internal-agent.js:51:3)n    at c.perform (frida/node_modules/frida-java-bridge/lib/vm.js:12:1)n    at _performPendingVmOps (frida/node_modules/frida-java-bridge/index.js:250:1)","fileName":"frida/runtime/core.js","lineNumber":207,"columnNumber":1}

查看当前是否关闭了SELINUX

getenforce

确实开着的
李跳跳使用、逆向、脱壳和原理介绍

setenforce 0

关闭selinux,运行frida-server
然后重新打开一个shell查看是否存在
李跳跳使用、逆向、脱壳和原理介绍
运行成功

frida升级

pip3 install -U frida
pip3 install -U frida-tools

frida脱壳

手机上打开需要脱壳的软件
李跳跳使用、逆向、脱壳和原理介绍
adb shell启动frida-server
李跳跳使用、逆向、脱壳和原理介绍
如果你跟我一样配置了python script的环境变量,那就可以直接在命令行启动frida-dexdump
李跳跳使用、逆向、脱壳和原理介绍
输入命令 frida-dexdump -FU,如下图(参数说明,参数 U 是usb,参数 F是前台活动app)
李跳跳使用、逆向、脱壳和原理介绍
得到脱壳的dex文件
李跳跳使用、逆向、脱壳和原理介绍
检查之后发现是classes.dex为源dex文件

还原APK

脱壳之后对APK进行还原
用baksmali工具,把dex转换成smali

java -jar baksmali.jar d classes.dex

李跳跳使用、逆向、脱壳和原理介绍
用 apktool d ./com.xxx.mobile.apk,反编译,得到加固的apk解压包
李跳跳使用、逆向、脱壳和原理介绍
替换 smali 文件夹,用前面的 smali 文件夹替换掉 解压包中的 smali,替换
李跳跳使用、逆向、脱壳和原理介绍
打开原文件的dex,找到com/wrapper/proxyapplication/WrapperProxyApplication
进去复制入口后到AndroidManifest.xml中替换入口
这里是原本的AndroidManifest.xml
李跳跳使用、逆向、脱壳和原理介绍
入口我直接用MT管理器看吧
李跳跳使用、逆向、脱壳和原理介绍
我们需要替换成 hello.litiaotiao.app.LttApp
李跳跳使用、逆向、脱壳和原理介绍
然后删除腾讯加固的相关文件,一般在assets、lib目录下
也就是我们前面说的那些特征

  • tencent_stub
  • tosversion
  • 0OO00l111l1l
  • o0oooOO0ooOo
  • 文件名带有shell的

用 apktool b com.xxx.mobile 编译apk
最后就是使用AndroidKiller进行重打包
李跳跳使用、逆向、脱壳和原理介绍
打包完成进行安装即可
结果还是安装不了
李跳跳使用、逆向、脱壳和原理介绍
菜是原罪~

原理

利用安卓系统的无障碍权限,帮助用户自动点击广告上的跳过按钮

关于无障碍服务

AccessibilityService(无障碍服务)是 Android 操作系统中的一个功能,旨在帮助用户具有视觉、听觉或运动上的障碍更轻松地使用设备。它是 Android 提供的一种特殊服务,可以接收设备上发生的各种事件,并提供自定义的反馈或处理方式。

AccessibilityService 可以在用户界面上监控和操作应用程序,并为用户提供额外的辅助功能。它可以接收系统级别的事件,如按键、触摸、通知等,还可以访问应用程序的视图层次结构,以便分析和操作应用程序的界面元素

李跳跳的广告跳过包含了两个部分

  • 开屏广告跳过
  • 应用内弹窗跳过

开屏广告跳过

有一个简单的规则 也就是字符串 跳过
逆向李跳跳的源代码查看规则
hashSet里面存储了一些关键字
李跳跳使用、逆向、脱壳和原理介绍
另外还有在文件内部的 2131755075 位置 ,转成十六进制是 7F100043
李跳跳使用、逆向、脱壳和原理介绍
可以看出这里的hashSet里面装的就是开屏跳过的关键字
李跳跳使用、逆向、脱壳和原理介绍
但是这里有两个是从文件读取的,转换一下可以在public.xml里面找到
李跳跳使用、逆向、脱壳和原理介绍
在李跳跳掘金的主页中可以找到答案
李跳跳使用、逆向、脱壳和原理介绍
所以这里是用户自己导入的规则,这里我们直接把这几个跳过的关键字都加到我们的逻辑里面,以后遇到了其他的再处理
翻翻xml文件里面还发现有一个白名单列表
李跳跳使用、逆向、脱壳和原理介绍
应该是为了节省内存进行了一次包名判断
所以对于开屏广告的检测核心是

@Override
public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
    onAccessibilityEventPre();
    AccessibilityNodeInfo source = accessibilityEvent.getSource();
    if (source == null)
        return;

    // 判断是否开启了检测
    if (!mMKV.decodeBool(SWITCHMAIN_KEY))
        return;

    CharSequence packageName = accessibilityEvent.getPackageName();
    if (packageName == null)
        return ;
    String currentPackageName = packageName.toString();

    // 读取白名单数组
    String[] whiteListArray = getResources().getStringArray(R.array.whitelist);
    List<String> whiteList = Arrays.asList(whiteListArray);

    if (whiteList.contains(currentPackageName)) {
        return// 如果是白名单内的包名,则不执行后续的检测逻辑
    }

    for (int i = 0; i < source.getChildCount(); i++) {
        AccessibilityNodeInfo childNode = source.getChild(i);
        if (childNode.getText() == null) {
            continue;
        }

        String text = childNode.getText().toString();

        for (String keyword : keywords) {
            if (text.contains(keyword)) {
                Log.i(TAG, "检测到开屏广告关键字:" + keyword);
                childNode.performAction(AccessibilityNodeInfo.ACTION_CLICK);
                Toast.makeText(this, SKIP_PROMPT, Toast.LENGTH_LONG).show();
                break;
            }
        }
    }
}

往 AndroidManifest(清单文件)上配置:

<service android:exported="false" android:label="♥张得乖1.0" android:name="hello.beautifulz.app.ZdgService" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE">
    <intent-filter>
        <action android:name="android.accessibilityservice.AccessibilityService"/>
    </intent-filter>
    <meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
</service>

label是这个无障碍服务的名称
serviceconfig 配置文件如下

<?xml version="1.0" encoding="utf-8"?>
<accessibility-service android:description="@string/accessibility_service_description" android:settingsActivity="hello.beautifulz.app.MainActivity" android:accessibilityEventTypes="typeAllMask" android:accessibilityFeedbackType="feedbackGeneric" android:notificationTimeout="100" android:accessibilityFlags="flagDefault" android:canRetrieveWindowContent="true" android:canPerformGestures="true" android:isAccessibilityTool="true"
  xmlns:android="http://schemas.android.com/apk/res/android" />

应用内弹窗跳过

第二种是应用内的弹窗规则
李跳跳使用、逆向、脱壳和原理介绍
关于这一点在 https://github.com/Snoopy1866/LiTiaotiao-Custom-Rules 上面有相关规则
李跳跳使用、逆向、脱壳和原理介绍
跳过应用内的弹窗需要自己编写解析规则的框架,类似于下面这种

public class MyAccessibilityService extends AccessibilityService {

    @Override
    public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
        // 获取弹窗内容
        CharSequence popupContent = accessibilityEvent.getText();
        if (popupContent != null) {
            String popupText = popupContent.toString();

            // 调用规则匹配函数
            boolean matched = checkPopupRules(popupText);

            if (matched) {
                // 执行关闭弹窗的操作,例如执行返回键动作
                performGlobalAction(GLOBAL_ACTION_BACK);
            }
        }
    }

    private boolean checkPopupRules(String popupText) {
        // 将规则字符串解析为规则对象,可以使用 JSON 或其他格式进行解析
        // 这里假设规则已经解析为 Rule 对象

        Rule rule = new Rule("+检测到&-用户体验""=以后再说");

        // 进行规则匹配判断
        if (popupText.startsWith(rule.getKeywordStart()) &&
            popupText.endsWith(rule.getKeywordEnd())) {
            if (rule.getAction().equals("=以后再说")) {
                return true;
            }
        }

        return false;
    }

    // 其他回调方法...

}

这个暂时作为保留节目吧~

后台保活

APP的后台保活是一门智慧~为了让APP一直在后台运行来跳过广告,我们需要让它不被系统杀死
无障碍服务本身权限就很大,借助无障碍服务我们来实现强力保活,可以从以下几个方向入手:

  • 前台服务保活
  • 申请REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 忽略电池优化开关
  • 开启自启动无障碍服务

这里就不再详细说明了

效果

最后实现的小demo可以说是李跳跳的闺蜜了
李跳跳使用、逆向、脱壳和原理介绍
把里面的很多地方都裁剪了,只留下了开启广告跳过的按钮
李跳跳使用、逆向、脱壳和原理介绍
这个时候再打开知乎就可以看到有跳过效果了

参考链接

  • https://mp.weixin.qq.com/s/MvpIvmQtha0glvvcApZqsA
  • https://www.cnblogs.com/gezifeiyang/p/16229721.html
  • https://www.52pojie.cn/thread-1453091-1-1.html
  • https://www.freebuf.com/articles/system/190565.html
  • https://www.cnblogs.com/gezifeiyang/p/16207042.html
  • https://www.jianshu.com/p/c349471bdef7
  • https://juejin.cn/post/6938590373740544007
  • https://www.bilibili.com/read/cv12200073/
  • https://www.bilibili.com/read/cv11826368/
  • 还有很多其他的资料

END

建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注 李跳跳使用、逆向、脱壳和原理介绍

加我拉你入群 黑糖安全公众号
李跳跳使用、逆向、脱壳和原理介绍 李跳跳使用、逆向、脱壳和原理介绍


原文始发于微信公众号(黑糖安全):李跳跳使用、逆向、脱壳和原理介绍

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日23:33:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   李跳跳使用、逆向、脱壳和原理介绍http://cn-sec.com/archives/2018544.html

发表评论

匿名网友 填写信息