【APP 聊天协议逆向分析】

admin
admin
admin
101411
文章
87
评论
2023年5月15日18:35:55评论111 views字数 2154阅读7分10秒阅读模式

环境


主机:win10

手机:Pixel 4 ,Android 10

APP版本:V4.70.0


工具


IDA、JADX、Frida、Charles、WireShark


逆向思路


总结:猜


流量抓包分析


聊天数据一般都为TCP传输,所以直接使用WireShark抓包。


经过不断观察以下特征数据很像聊天数据:

【APP 聊天协议逆向分析】

接下来的思路就是Hook libc.so 的send函数,打印调用堆栈。


查壳、脱壳

【APP 聊天协议逆向分析】
未查到,那就先将APK拖进JADX里进行分析。


Frida Hook


撸起袖子就准备直接开干,Frida Server已启动,直接运行。

frida -Uf cn.xxxx.android -l .xxx.js --no-pause


世间万般逆向怎么都如我所愿?不出意外的意外,Process terminated。


狗贼将我的Frida大法拒之门外,作为Frida忠实爱好者(别的不会),这哪能忍?

【APP 聊天协议逆向分析】

往上看,/lib/arm64/libmsaoaidsec.so这小子名字一看就不是什么好东西。拖进IDA里将之底裤扒光。


我们知道一般检测Frida的函数无非是strstr、strcmp、readline,fgets这些。我们当然也知道一般检测函数大多都在init_proc、JNI_OnLoad中进行调用执行。


打开so 定位到init_proc,然后又闻到了熟悉的味道。

【APP 聊天协议逆向分析】


里面调用的函数不是很多,所以直接人肉分析,那这样不是外套脱了还剩里面的?不行不行。

【APP 聊天协议逆向分析】

通过观察上面的CFG发现,该混淆符合以下逻辑:

【APP 聊天协议逆向分析】

整体思路就是先查找主分发器,一般被引用次数最多的那个块就是主分发器,引用主分发器的块大概率是真实块,再使用unicorn模拟执行,遍历每一个分支,记录每一个块,如果某一个块是上次记录的块则也为真实块,无后继的块则为retn块,剩下的就是无用块。最终处理后样子如下:

【APP 聊天协议逆向分析】

经过一个一个的点,最终找到了一个十分可疑的家伙sub_1A8A0()。

【APP 聊天协议逆向分析】

再次跟进去,发现了重点胖揍对象。

result = pthread_create(qword_45658, 0LL, (void *(*)(void *))sub_18C88, 0LL);

那可不就是这小子阻碍了Frida大军的步伐。


下面编写Frida脚本去绕过该检测手段。

function hook_pthread_create(){    var pt_create_func = Module.findExportByName(null,'pthread_create');    var detect_frida_loop_addr = null;    console.log('pt_create_func:',pt_create_func);    Interceptor.attach(pt_create_func,{       onEnter:function(){           if(detect_frida_loop_addr == null)           {                var base_addr = Module.findBaseAddress('libmsaoaidsec.so');                if(base_addr != null){                    detect_frida_loop_addr = base_addr.add(0x0000000000018C88)                    console.log('this.context.x2: ', detect_frida_loop_addr , this.context.x2);                    if(this.context.x2.compare(detect_frida_loop_addr) == 0) {                        hook_anti_frida_replace(this.context.x2);                    }                }            }        },       onLeave : function(retval){           // console.log('retval',retval);       }   })}function hook_anti_frida_replace(addr){    console.log('replace anti_addr :',addr);    Interceptor.replace(addr,new NativeCallback(function(a1){        console.log('replace success');        return;    },'pointer',[])); }setImmediate(hook_pthread_create(),3000);


然后就可以愉快的使用Frida了。


加密流程分析


通过Frida Hook libc.so后发现,聊天协议走的是JAVA层的socket,然后Hook JAVA层相关函数得到如下调用堆栈。

【APP 聊天协议逆向分析】

那么组包和加密大概率是在wq这个类里面的某些函数实现的。


打开JADX,查看wq.d$d.e函数。

【APP 聊天协议逆向分析】

e函数里可以看到body即为tcp数据,经过body = EncryptUtils.encryptMessage(body);加密,跟进encryptMessage函数。

【APP 聊天协议逆向分析】
【APP 聊天协议逆向分析】

最终发现为DES(DES/ECB/pkcs5padding)加密,加密key由getUserIdKey生成。


再次发起Frida魔法攻击。


【APP 聊天协议逆向分析】


未加密的数据结构为protobuf。


result结果即为TCP data。

【APP 聊天协议逆向分析】

解密后就可以拿到聊天内容,发送方昵称,发送时间等信息。


转自:网络安全与取证研究

【APP 聊天协议逆向分析】

原文始发于微信公众号(电子物证):【APP 聊天协议逆向分析】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月15日18:35:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【APP 聊天协议逆向分析】https://cn-sec.com/archives/1734275.html

发表评论

匿名网友 填写信息