某APK注册机制分析与多思路破解方法
本帖最后由 csky6688 于 2015-7-25 16:22 编辑刚刚接触android逆向,请多多包涵
在论坛看到一篇帖子,说软件作者利用异常机制来实现注册,思路比较好。。。
于是简单分析了下,并对so文件里的算法进行了分析。
下面我将以软件注册机制和多思路逆向两部分进行详细讲解
--------------------------------------------------------------
一 软件注册机制分析篇
--------------------------------------------------------------
首先,软件安装后,如图所示,
在右上角提示注册,点击后提示找回注册和注册说明,并提示了注册码(在不同的模拟器中显示不一样)
其中该软件的注册流程如下所示:
首先APK使用者支付成功后,利用短信或者邮件,将支付信息和机器码发送给作者->作者修改服务器的数据库->APK使用者利用找回注册,去服务器查询,查询成功后,提示注册成功,否则提示不成功。
因此利用"不成功"字符串为突破口,进行进一步的分析。
JEB载入apk,在BqimenDateInputActivity中查找到如下的函数
public native String regetkey(String arg1) {
}
public native String regetkeyafter(String arg1) {
}
static void s(BqimenDateInputActivity arg4) {
String v0_2;
try {
v0_2 = "";
HttpResponse v1 = new DefaultHttpClient().execute(new HttpGet(arg4.regetkey("QM" + arg4.
getIMEI())));
if(v1.getStatusLine().getStatusCode() == 200) {
v0_2 = EntityUtils.toString(v1.getEntity(), "UTF-8");
}
}
catch(IOException v0) {
arg4.aa.MyDialog(((Context)arg4), "不成功,连接超时,请开通网络重试!(错误代码:-403)", "提示");
v0.printStackTrace();
return;
}
catch(ClientProtocolException v0_1) {
arg4.aa.MyDialog(((Context)arg4), "不成功,请开通网络重试或联系开发者!(错误代码:-327)", "提示");
v0_1.printStackTrace();
return;
}
v0_2 = arg4.regetkeyafter(v0_2);
try {
if(Integer.parseInt(v0_2) != 6) {
return;
}
arg4.al = true;
arg4.ag.setVisibility(8);
arg4.writeFileData("config1my", arg4.writekey("QM" + arg4.getIMEI()));
arg4.aa.ExecuteSQL(arg4.aa.MyDB, "insert into config values (\'qm\',\'" + arg4.getIMEI()
+ arg4.getIMSI() + "\',\'1\',1)");
arg4.aa.ShowMessage(((Context)arg4), "成功", "");
arg4.m();
}
catch(Exception v0_3) {
arg4.aa.ShowMessage(((Context)arg4), "不成功", "");
}可以看到,首先利用HttpGet连接服务器,查询信息,然后利用动态库so里面的regetkeyafter()方法,对查询的结果进行处理,最后将regetkeyafter方法返回的字符串转换成整数,并判断值是否6。在字符串转换成整数过程中,如果转换失败,则抛出异常,软件的作者也是在异常中,提示注册不成功的。
上面对static void s(BqimenDateInputActivity arg4)整体流程分析后,我们再回过头来仔细看看该函数的细节。
该函数中首先调用getIMEI()方法获得一个字符串(实际上获得的机器码,稍后我会讲解如何验证),并与QM拼接获得新的字符串“QMXXXX”,传递给动态库so文件里的regetkey()方法,得到服务器的地址和查询参数(如何知道的?稍后会慢慢道来)。
下面我们可以先输出这几个关键函数的返回值,做个初步的判断。
因此,我们首先获得getIMEI()方法的返回值、regetkey()方法的返回值、服务器的查询结果v0_2和regetkeyafter()方法的返回值。
打开apktool反编译后的文件BqimenDateInputActivity.smali,找到S函数
.method static synthetic s(Lcom/forace/Bqimen/BqimenActivity/BqimenDateInputActivity;)V
修改如下几处代码:然后打包成apk,签名运行后,点击注册->找回注册,并在cmd中输入adb logcat -s SN:V
得到结果为对比之前的注册界面,可以验证我们的想法是正确的。即getIMEI()方法获得机器码、regetkey()方法的返回服务器的查询地址和参数、变量v0_2保存服务器查询的结果,regetkeyafter()对服务器的查询结果进行处理,
此处返回了字符a,因此调用Integer.parseInt会产生异常,跳到如下的代码执行:catch(Exception v0_3) {
arg4.aa.ShowMessage(((Context)arg4), "不成功", "");
}分析完软件注册的整体框架后,下面我们对动态库so文件里的regetkey()方法和regetkeyafter()方法进行分析。
regetkey()方法根据机器码产生相应服务器地址和查询参数,载入IDA,找到该函数:该函数的实现算法为:计算输入的注册码长度,并提取注册码中的每个字符,然后对每个字符进行查表的方式,获得一个新的字符,并添加到字符串"http://www.****.com/userc/checkID.asp?key=''"中的Key参数中。关于该算法的详细注释,我会打包到附件中,另外也可以通过动态调试的方式,获得该函数的算法。
下面对另一个函数regetkeyafter()进行分析,其实该函数的实现是比较简单的,具体为:将查询结果与”true“进行比较,如果成功,则将返回值赋值为字符6,否则赋值为字符a。如下:上面便是整个软件的注册机制的实现和算法讲解。
在了解了注册机制后,对与该软件的逆向应该是很简单的了,下面简单的介绍两种分析方法。
--------------------------------------------------------------
二 软件多种思路逆向篇
--------------------------------------------------------------此处我会提供两种新的逆向分析思路
1、第一种逆向分析思路
通过前面的分析,发现其实只需要使regetkeyafter()的返回值为字符6即可实现逆向。而最简单的方法就是修改src(即字符a)处的原始字符为6即可,如下地址利用WinHex将61改为36即可。然后打包,签名,注册->找回注册即可,注册成功。
2、第二种逆向分析思路
既然软件需要访问服务器获得查询结果(true或者false),那同样在获得了完整的访问网址及参数后,可以自己搭建服务器,实现离线验证,此方法复杂,在此不在细讲,只提供一个思路。
另外此种方法适用于复杂的认证过程中,通过抓包获得地址,然后搭建伪服务器验证即可。到此,本文的讲解就结束了。
附件为:
{:5_188:}沙发占楼 {:5_123:}思路牛逼 看的晕乎乎的!已评分 非常精彩,赞一个,么么哒~!
支持楼主,支持原创! 思路牛逼,非常精彩,赞一个,么么哒~! 我是来学习思路的 好图文,不错,图文比较给力,辛苦了。 感谢分享 膜拜搞安卓的{:5_188:}