有问题,麻烦版主立即删除
用到的工具:jadx-gui,pycharm,postern,charles,frIDA, ida
这里我下的是某西西6.26的版本,在用jadx分析的时候记得开启反混淆
抓包分析
QQ图片20240715163736.png (241.56 KB, 下载次数: 2)
下载附件
抓包
2024-7-15 16:37 上传
通过curl复制到pycharm得出结果是 头部得出anti-token加密
打开frida hook
还是hook hashMap 当key == "anti-token") 就查看堆栈
QQ图片20240715165106.png (81.65 KB, 下载次数: 4)
下载附件
堆栈
2024-7-15 16:51 上传
输出和花瓶抓包结果一致
3、根据堆栈信息打开jadx分析,分析前面几个,直接搜类
QQ图片20240715165303.png (52.19 KB, 下载次数: 2)
下载附件
分析堆栈
2024-7-15 16:53 上传
可能是这里,进去看一下
QQ图片20240715165813.png (55.6 KB, 下载次数: 4)
下载附件
搜索
2024-7-15 16:58 上传
经过frida调试得出
QQ图片20240715171856.png (76.98 KB, 下载次数: 2)
下载附件
分析
2024-7-15 17:19 上传
进到
mo24406f这个方法里面发现是个接口
QQ图片20240715172203.png (26.56 KB, 下载次数: 4)
下载附件
接口
2024-7-15 17:22 上传
直接搜这个名字的接口
QQ图片20240715172334.png (57.13 KB, 下载次数: 2)
下载附件
接口名字
2024-7-15 17:23 上传
进去复制frida和抓包结果对比 很成功就是这里
QQ图片20240715173006.png (43.04 KB, 下载次数: 5)
下载附件
frida和抓包
2024-7-15 17:30 上传
QQ图片20240715173243.png (23.66 KB, 下载次数: 3)
下载附件
复制
2024-7-15 17:32 上传
return
SecureNative
.
deviceInfo2
[color=](
context
,
[color=]Long
.
valueOf
[color=](
m65402c
[color=])
[color=])
;
[color=]deviceInfo2进到里面就会发现到了
native 这里还没有so文件的信息,他是动态加载的
QQ图片20240715173441.png (17.54 KB, 下载次数: 3)
下载附件
so
2024-7-15 17:35 上传
找到动态加载的so文件,如果想分析动态的so文件 得从Android得底层开始
QQ图片20240715175935.png (37.57 KB, 下载次数: 2)
下载附件
加载文件
2024-7-15 17:59 上传
直接解压本地的apk文件找
QQ图片20240715180353.png (11.98 KB, 下载次数: 3)
下载附件
找到so
2024-7-15 18:04 上传
用ida 打开so文件查看导出表刚好看到device_info2
QQ图片20240715180644.png (41.16 KB, 下载次数: 4)
下载附件
info2
2024-7-15 18:07 上传
这里就要分析汇编了 ,我先发表帖子 。晚点有继续
