您当前的位置:首页 > 电脑百科 > 程序开发 > 移动端 > Android

Android逆向破解入门

时间:2020-05-19 10:13:50  来源:  作者:

作者:xiaoyuer 合天智汇

 

前年的时候搞过一点Android逆向,好久没搞了,最近有个哥们让我帮他做个Android逆向的小题目,于是拾起来Android逆向的知识重新来搞搞吧,这个apk十分简单,属于入门级的Android逆向分析程序,所以本文面向的对象主要是想涉足Android逆向的读者,让读者能够了解一下Android逆向是怎么回事。我这里附上apk文件,感兴趣的最好下载下来实操一下:

链接:https://pan.baidu.com/s/17d7zKMjh8rKjj9mUl3J_0Q 提取码:htrx

引言

Android程序一般是使用JAVA语言开发,通过生成一个apk文件安装到Android手机上来运行,apk我们很容易获得,我们通过使用一些反汇编工具可以得知apk文件内部的逻辑,甚至得到他最初的Java源代码(不完全等同于开发时的源代码,但是大体上相同)。同时,也可以通过反汇编工具得到类似于smali代码,smali代码是一种类似于汇编语言的代码,适合机器执行,但对于程序员来说就相对晦涩难懂了。

首先,使用apktools和jad-gui工具或者Androidkiller得到反汇编后的smali代码和java代码,这两款工具可以很容易在网上搜到,使用方法也很简单,这里就不赘述了。下面开始进入代码分析阶段,java代码比较容易看懂,所以这里就先上java代码吧:

通过java得到flag

通过上述两款工具得到的MainActivity的java源码如下所示:

package com.a.sample.androidtest;

import android.content.Context;
import android.os.Bundle;
import android.support.v7.App.AppCompatActivity;
import android.view.View;
import android.view.View.OnClickListener;
import android.widget.EditText;
import android.widget.Toast;

public class MainActivity extends AppCompatActivity {
    private EditText editText;
    private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};

    public boolean check() {
        byte[] chars = this.editText.getText().toString().getBytes();
        if (chars.length != this.s.length) {
            return false;
        }
        int i = 0;
        while (i < this.s.length && i < chars.length) {
            if (this.s[i] != (chars[i] ^ 23)) {
                return false;
            }
            i++;
        }
        return true;
    }

    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView((int) R.layout.activity_main);
        final Context context = this;
        this.editText = (EditText) findViewById(R.id.edit_text);
        findViewById(R.id.button).setOnClickListener(new OnClickListener() {
            public void onClick(View v) {
                if (MainActivity.this.check()) {
                    Toast.makeText(context, "You got the flag!", 1).show();
                } else {
                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();
                }
            }
        });
    }
}

猛一看这一段代码可能有点懵,没那个耐心去看这段代码在干嘛,这里可以先尝试使用安卓模拟器运行后观察一下程序的运行逻辑,打开后发现是一个输入框,然后一个check按钮。如图所示:

Android逆向破解入门

 

再结合代码进行分析可知,当点击check按钮时,会触发onClick函数,即如下代码段:

if (MainActivity.this.check()) {
                    Toast.makeText(context, "You got the flag!", 1).show();
                } else {
                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();

由此可知如果check函数返回true,会提示You got the flag! 否则,提示Sorry your flag is wrong。下面对check函数进行分析:

public boolean check() {
        byte[] chars = this.editText.getText().toString().getBytes();
        if (chars.length != this.s.length) {
            return false;
        }
        int i = 0;
        while (i < this.s.length && i < chars.length) {
            if (this.s[i] != (chars[i] ^ 23)) {
                return false;
            }
            i++;
        }
        return true;
    }

其中,this.s是一个byte型的数组:

private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};

首先看到check函数先是检查输入的flag和s数组的长度是否相等,之后进行while循环,其中if中的判断条件为:

this.s[i] != (chars[i] ^ 23)

这里^指的是二进制按位异或。这样整个逻辑就分析清楚了,那么如何得到正确的flag呢?

有一个需要记住的实用技巧,就是两次按位异或运算会得到自身,所以我们对s数组再进行一次异或即可得到真实的flag;Python脚本如下:

# -*- coding: utf-8 -*-
def ascii2str():
    asciis=[113,123,118,112,108,94,99,72,38,68,72,87,89,72,36,118,100,78,72,87,121,83,101,39,62,94,62,38,107,115,106]
    strs=[]
    for ascii in asciis:
        str=chr(ascii^23)
        strs.append(str)
    print(''.join(strs))

if __name__ == '__main__':
    print("begin!")
    ascii2str()
    print("finished!")

运行后输出结果为:flag{It_1S_@N_3asY_@nDr0)I)1|d},

Android逆向破解入门

 

输入后可知显示You got the flag! 如图所示:

Android逆向破解入门

 

 

通过smali修改跳转进行破解

前面提到除了Java源码,还有smali代码,那既然对Java源码都已经分析清楚了,为啥还要看smali代码?smali的好处在于能回编译,实现破解效果,即不需要对他的算法进行分析,无需知道真实的flag即可让他显示You got the flag!那么我们就用smali来搞一下;

MainActivity的smali源码check函数如下所示:

.method public check()Z
    .locals 5

    .prologue
    const/4 v2, 0x0

    .line 15
    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->editText:Landroid/widget/EditText;

    invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;

    move-result-object v3

    invoke-virtual {v3}, Ljava/lang/Object;->toString()Ljava/lang/String;

    move-result-object v3

    invoke-virtual {v3}, Ljava/lang/String;->getBytes()[B

    move-result-object v0

    .line 16
    .local v0, "chars":[B
    array-length v3, v0

    iget-object v4, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B

    array-length v4, v4

    if-eq v3, v4, :cond_1

    .line 22
    :cond_0
    :goto_0
    return v2

    .line 18
    :cond_1
    const/4 v1, 0x0

    .local v1, "i":I
    :goto_1
    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B

    array-length v3, v3

    if-ge v1, v3, :cond_2

    array-length v3, v0

    if-ge v1, v3, :cond_2

    .line 19
    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B

    aget-byte v3, v3, v1

    aget-byte v4, v0, v1

    xor-int/lit8 v4, v4, 0x17

    if-ne v3, v4, :cond_0

    .line 18
    add-int/lit8 v1, v1, 0x1

    goto :goto_1

    .line 22
    :cond_2
    const/4 v2, 0x1

    goto :goto_0
.end method

看起来比Java源码难懂了很多,其实我们目前只需要知道一些关键语句的含义就够了,当然后面如果想深入学习肯,smali代码越熟悉越好,这里对这里的部分smali进行解释一下,.method public check()Z 中的Z表示这是bool类型的函数;.locals 5 表明了在这个函数中最少要用到的本地寄存器的个数。.line 15 表明了该代码在原Java文件中的行数。其余的命令我也忘记了不少,为了避免误人子弟,我就大概解释一下主要的内容吧?

invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;

invoke-virtual是调用函数,invoke-static后面有一对大括号“{}”,其实是调用该方法的实例+参数列表。对v3进行分析就会发现它就是我们输入框输入的flag,v4就是上述数组里的s;看到这里:

if-eq v3, v4, :cond_1
Android逆向破解入门

 

其实我们已经找到了跳转点,if-eq 也就是v3 v4相等时跳转到某处,那么如果我们把它直接改成不相等时跳转,岂不是输入除真实的flag外的任何值都会提示You got the flag! 那我们就来试试直接将if-eq改成if-ne,然后使用Androidkiller中的回编译功能,对他进行签名,重新安装运行,发现随便输入都提示You got the flag!

Android逆向破解入门

 

AndroidAPK逆向分析

apk反编译java代码是进行apk代码分析、修改的基础,也能更好的理解apk的包结构。通过本实验,可掌握Android APK文件的逆向反编译过程,能够对APK文件进行简单的分析,学习相关工具的使用。

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014053009520900001

声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!



Tags:Android 逆向破解   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前年的时候搞过一点Android逆向,好久没搞了,最近有个哥们让我帮他做个Android逆向的小题目,于是拾起来Android逆向的知识重新来搞搞吧,这个apk十分简单,属于入门级的Android逆向分析程序,所以本文面向的对象主要是想涉足And...【详细内容】
2020-05-19  Tags: Android 逆向破解  点击:(78)  评论:(0)  加入收藏
▌简易百科推荐
今天面试遇到同学说做过内存优化,于是我一般都会问那 Bitmap 的像素内存存在哪?大多数同学都回答在 java heap 里面,就比较尴尬,理论上你做内存优化,如果连图片这个内存大户内存...【详细内容】
2021-12-23  像程序那样思考    Tags:Android开发   点击:(8)  评论:(0)  加入收藏
Android logcat日志封装logcat痛点在Android开发中使用logcat非常频繁,logcat能帮我们定位问题,但是在日常使用中发现每次使用都需要传递tag,并且会遇到输出频率很高的log,在多...【详细内容】
2021-12-22  YuCoding    Tags:Android   点击:(8)  评论:(0)  加入收藏
对项目的基本介绍 1.整个框架主要是给MVVM框架使用的,自己写完interface接口后,通过自定义的注解就能自动生成接口方法 2.用Kotlin的Flow去代替Rxjava,因为我发现RxJava功能很...【详细内容】
2021-12-08  网易Leo    Tags:Android开发   点击:(16)  评论:(0)  加入收藏
前言在Android开发过程中,有些时候会根据需要引用别的项目到当前项目里面,而且以Module形式引用。所以本篇博文就来分享一下怎么以Module形式引用别的项目到当前项目中,方便开...【详细内容】
2021-12-07  网易Leo    Tags:Android开发   点击:(22)  评论:(0)  加入收藏
作者:fundroid这篇文章偏阅读一些,大家可以了解下 Android 的一些最新动向。每年9/10月份 Google 都会举行约为期2天的 Android Dev Summit,在活动上 Google 的技术专家们会分...【详细内容】
2021-11-30  像程序那样思考    Tags:Android开发   点击:(15)  评论:(0)  加入收藏
一、 准备工作1、安装JDK,下载地址(可能需要一个oracle账号,大家百度一下或者自行注册一个就行。尽可能选择8或者11,这两个是长期版本)Java SE | Oracle Technology Network | Or...【详细内容】
2021-11-23  永沧    Tags:Android   点击:(28)  评论:(0)  加入收藏
使用Maven Publish Plugin插件。(官方支持)一、在Library的build.gradle中配置plugins { id &#39;com.android.library&#39; id &#39;kotlin-android&#39; id &#39;k...【详细内容】
2021-11-05  羊城小阳    Tags:Android   点击:(37)  评论:(0)  加入收藏
谷歌离推出Play Store应用程序的新数据隐私部分又近了一步。应用程序开发人员现在可以通过谷歌在Play控制台的新 "数据安全表 "填写相关细节。该公司表示,所需信息将从2022年...【详细内容】
2021-10-20    中关村在线  Tags:安卓   点击:(58)  评论:(0)  加入收藏
架构究竟是什么?如何更好的理解架构?我们知道一个APP通常是由class组成,而这些class之间如何组合,相互之间又如何产生作用,就是影响这个APP的关键点。细分的话我们可以将其分为类...【详细内容】
2021-09-17  像程序那样思考    Tags:Android架构   点击:(52)  评论:(0)  加入收藏
概述当Android应用程序需要访问设备上的敏感资源时,应用程序开发人员会使用权限模型。虽然该模型使用起来非常简单,但开发人员在使用权限时容易出错,从而导致安全漏洞。本文中,...【详细内容】
2021-09-07  SecTr安全团队    Tags:Android开发   点击:(66)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条