安卓逆向 某助手专业版破解分析

.最近听说这个叫XX助手的app挺好用的，下载之后，发现好多功能需要进行付费才能使用，这哪能忍？

2.先让我探探它的深浅，使用np管理器先看看加没加壳，发现使用了360加固

3.本来还想直接用np管理器直接改代码重打包的，没想到用了360加固难办喽，难办？那就别办了，掀桌子了，先给它脱个壳，这里我直接用frida-dexdump脱壳了

4.脱完壳之后，直接丢jadx里面进行反编译，大概这样吧

5.接下来就该分析一下了，这里我直接上算法助手，让我看看它这个窗口是怎么调用的

6.双击跳转过来，直接查看一下代码，然后我们直接写frida脚本，上frida调用一下试试。

7.脚本详情

 复制代码 隐藏代码
Java.perform(function () {
    console.log("启动");
    let o00Oo0 = Java.use("o0000oo0.o00Oo0");
    o00Oo0["onStart"].implementation = function () {
        console.log(`o00Oo0.onStart is called`);
        this["onStart"]();
    };    
});

8.使用frida脚本注入一下，发现成功调用了，说明出付费弹窗的时候，确实调用这个地方了。

9.但是后面经过测试，发现非付费功能，也会调用这个参数，说明这个方法是用来处理弹窗的，我们往上追看是谁调用了它，结果发现，没有人调用它，它是系统自动调用的，这是一个生命周期方法。

10.那接下来怎么办呢？正当我一筹莫展之际，我想到了，既然它需要付费激活，肯定会和服务端进行通信，所以，让我们抓个包试试，小黄鸟启动！！

11.在上述的包中，我们可以看到我们输入了激活码1234567890，响应回来的是激活码长度是不对的，我们看看相关的关键字首先是域名codekk.com，其次是路径/common/v，以及一些其他的特征，我们拿着这些特征点去搜索一下。

12.运气不错，只有一处，我们去看看相关代码，和请求报文参数正好对应的上，说明就是调用了这个地方。

13.之前发现响应包报错激活码长度不够，经过不断尝试，终于把在第32位时，不再报错激活码长度不够而且发现响应包code返回1而不是之前的11

14.我们在代码里再继续找找，发现这个地方的代码跳转过去和响应包的内容可以对应上。

15.这里的code和message和响应包正好对应上，我们尝试去hook一下，看看会不会触发此处。

16.脚本详情

 复制代码 隐藏代码
Java.perform(function () {
    console.log("启动");
    let OooO0O0 = Java.use("o00000Oo.OooO0O0");
    OooO0O0["getCode"].implementation = function () {
        console.log(`OooO0O0.getCode is called`);
        let result = this["getCode"]();
        console.log(`OooO0O0.getCode result=${result}`);
        return result;
    };
});

17.启动脚本，发现确实触发此处代码了

18.我们前面发现，激活码错误时，code返回1，我们大胆猜测，是不是当code返回0时就表示激活成功呢？这里我们直接把脚本里的return的结果直接返回为0试试。

 复制代码 隐藏代码
Java.perform(function () {
    console.log("启动");
    let OooO0O0 = Java.use("o00000Oo.OooO0O0");
    OooO0O0["getCode"].implementation = function () {
        console.log(`OooO0O0.getCode is called`);
        let result = this["getCode"]();
        console.log(`OooO0O0.getCode result=${result}`);
        return 0;
    };
});

19.使用脚本注入后，我们输入1234567890，发现成功激活，现在我们可以使用专业版工具了。

20.接下来就是进行持久化了，让我们来看一下xposed插件的写法。让我们打开Android Studio，先新建一个工程。

21.新建完工程后，我们先build一下，看看这个app能否正常build。

22.运行成功了，app成功安装并运行起来了。接下来让我们正式进入xposed插件的编写过程，首先就是去下载XposedBridgeAPI，地址：https://github.com/nashor1/XposedBridgeAPI ，下载完成后把下载下来的jar包放到libs目录里。

23. 然后选中jar包，右键点击Add As Library，添加到配置文件build.gradle里

24. 打开配置文件build.gradle，我们可以看到新增加了一条implementation(files("libs/XposedBridgeAPI-89.jar"))，这里我们需要把implementation换成compileOnly，然后记得点击一下Sync Now。具体为啥需要换，我也不太了解，之前跟大佬学习的时候，就是这样教的。

25. 创建assets文件夹，里面指定xposed插件的入口，在assets文件夹下创建一个file文件，命名为xposed_init。最后在xposed_init文件里写入xposed的hook启动类

26.在AndroidManifest.xml文件里面写明这是一个xposed插件，这可以让它在xposed中展示出来，做完之后，可以run一下，看能否在xposed中看到它。

27.可以找到它，说明上述我们做的都没问题，接下来开始写主要的hook代码，从哪里写呢？当然是刚才我们新建的Hookmain里写了。

 复制代码 隐藏代码
package com.kfzs.kfzspj;

import android.util.Log;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

public class Hookmain implements IXposedHookLoadPackage {
    public String tag = "lsposed_hook";

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
        if (loadPackageParam.packageName.equals("XX的包名")) {
            Log.d(tag, "jin ru le");
            Class ActivityThread = XposedHelpers.findClass("android.app.ActivityThread", loadPackageParam.classLoader);
            XposedBridge.hookAllMethods(ActivityThread, "performLaunchActivity", new XC_MethodHook() {
                protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    Class OooO0O0_class = XposedHelpers.findClass("o00000Oo.OooO0O0", loadPackageParam.classLoader);
                    XposedHelpers.findAndHookMethod(OooO0O0_class, "getCode", new XC_MethodHook() {
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            param.setResult(0);
                        }
                    });
                }
            });
        }
    }
}

28.前面frida只要hook就行了，而使用xposed时，需要考虑的就比较多。比如，因为此软件使用了x60加固，所以我们直接hook改getCode的返回值是不生效的，没办法找到classLoader，会出现报错，也不能注入成功，我们需要绕过360加固获得真正的classloader后才能hook成功。所以才会多出一些绕过的代码，写完这些代码后，直接安装运行即可。

29.安装完成后，在Lsposed里直接勾选作用域后，运行XX助手后，输入任意9位以上激活码，即可破解成功。到此，还不算结束，因为现在我们的xposed插件还不是完整的app，没有进行签名之类的，只能本地通过adb安装，所以下面，我们要对这个app进行签名，这样才能给大家用，点击Build->Generate Signed Bundle or APK。

30.然后选择APK，并且创建自己的签名，这里我自己创建了一个，然后点击Next，选择release，并点击Create就可以创建出来，生成的文件/{项目目录}/app/release/app-release.apk，这样就可以给其他人用了。

本文内容来自吾爱，如有侵权请联系删除

原文始发于微信公众号（逆向有你）：安卓逆向 -- 某助手专业版破解分析