对某apk的继续逆向

今天不知道怎么的，论坛登录不了，所以在某首发了
-----------------------------------------------------------------------
最近刚接触android逆向，因此，分析的比较简单，请多多包涵。
apk来源于本论坛，当时帖子的作者，通过修改积分数值，对软件进行了逆向，但并未找出注册机制等等，因此下面将对注册机制进行分析。

刚拿到该APK，先安装看看效果，但是安装后会闪退，并给出提示如下：

因此，猜测该APK应该会检查更新，如果有更新，就退出，并提示安装新版本。
载入JEB，进行分析，发现代码进行了混淆。虽然如此，但可以找到activity_register，An_QimenActivity。activity_register用处不是特别大，找到An_QimenActivity中的onCreate方法，发现如下代码：

1. this.getWindow().setSoftInputMode(3);
   
2.         if(this.b()) {
   
3.             Toast.makeText(this.getApplicationContext(), "本程序已有升级版，可在南方周易程序网站升级更新：www.nfbazi.com", 1)
   
4.                     .show();
   
5.             this.finish();
   
6.         }
   
7.         else {。。。}

复制代码

可以看到，我们的猜测是对的，因此首先去掉该限制，利用apktool反编译，找到An_QimenActivity.smali中的onCreate方法，找到如下代码：

1. if-eqz v0, :cond_0
   
2. 
   
3.     invoke-virtual {p0}, Lcom/nfbazi/qimen/An_QimenActivity;->getApplicationContext()Landroid/content/Context;
   
4. 
   
5.     move-result-object v0
   
6. 
   
7.     const-string v1, "\u672c\u7a0b\u5e8f\u5df2\u6709\u5347\u7ea7\u7248\uff0c\u53ef\u5728\u5357\u65b9\u5468\u6613\u7a0b\u5e8f\u7f51\u7ad9\u5347\u7ea7\u66f4\u65b0\uff1awww.nfbazi.com"
   
8. 
   
9.     invoke-static {v0, v1, v7}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
   
10. 
    
11.     move-result-object v0
    
12. 
    
13.     invoke-virtual {v0}, Landroid/widget/Toast;->show()V
    
14. 
    
15.     invoke-virtual {p0}, Lcom/nfbazi/qimen/An_QimenActivity;->finish()V
    
16. 
    
17.     :goto_0

复制代码

将if-eqz v0修改为if-nez v0,重新打包，签名，即可运行。

分析发现，该软件有10次的限制，10后积分会减为0，当然针对积分的限制，原帖作者已经给出了分析方法。而本文重点介绍该软件的注册机制
点击菜单可以发现注册窗口，因此需要分析该软件的注册机制，找到注册码。
在JEB中找到bp类，并找到onClick方法，代码如下：

1. public void onClick(View arg6) {
   
2.         int v3 = -16776961;
   
3.         if(a.q) {
   
4.             this.a.finish();
   
5.         }
   
6.         else {
   
7.             View v0 = this.a.findViewById(2131165230);
   
8.             View v1 = this.a.findViewById(2131165231);
   
9.             String v0_1 = ((EditText)v0).getText().toString().trim();
   
10.             if(v0_1.length() == 0) {
    
11.                 ((TextView)v1).setTextColor(v3);
    
12.                 ((TextView)v1).setText("您还没有输入注册码。");
    
13.             }
    
14.             else if(!d.a(a.o, v0_1)) {
    
15.                 ((TextView)v1).setTextColor(v3);
    
16.                 ((TextView)v1).setText("您输入的注册码不对。");
    
17.             }
    
18.             else {
    
19.                 ((TextView)v1).setTextColor(-65536);
    
20.                 ((TextView)v1).setText("注册成功，点击“退出”。");
    
21.                 activity_register.a(this.a, this.a.getSharedPreferences("pcr", 0));
    
22.                 activity_register.a(this.a).edit().putString("acc", this.a.a.a(v0_1)).commit();
    
23.                 activity_register.a(this.a).edit().putString("bcc", this.a.a.a(a.o)).commit();
    
24.                 a.c("pcr");
    
25.             }
    
26. 
    
27.             a.p = "a@^*(^*ga$(&%io";
    
28.         }
    
29.     }

复制代码

看到注册部分的代码了吧，主要是提取我们输入的注册码，与该软件的真正的注册码进行比较判断。
跟入a.o 发现是一个string

1. public class a {
   
2.     ....
   
3.     public static String o;
   
4.     ....
   
5.     static {
   
6.         .....
   
7.         a.o = "";
   
8.         }
   
9. }

复制代码

然后查看什么时候对a.o进行的赋值，如下：

1. public boolean b() {
   
2.         int v6 = 8;
   
3.         int v5 = 7;
   
4.         Object v0 = this.G.getSystemService("phone");
   
5.         String v1 = ((TelephonyManager)v0).getDeviceId();
   
6.         String v2 = ((TelephonyManager)v0).getSubscriberId();
   
7.         String v0_1 = ((TelephonyManager)v0).getSimSerialNumber();
   
8.         if(v1 == null) {
   
9.             v1 = "";
   
10.         }
    
11. 
    
12.         if(v2 == null) {
    
13.             v2 = "";
    
14.         }
    
15. 
    
16.         if(v0_1 == null) {
    
17.             v0_1 = "";
    
18.         }
    
19. 
    
20.         if(a.l == null) {
    
21.             a.l = "";
    
22.         }
    
23. 
    
24.         if(!v1.equals("")) {
    
25.             v1 = v1.toUpperCase();
    
26.         }
    
27. 
    
28.         if(!v2.equals("")) {
    
29.             v2 = v2.toUpperCase();
    
30.         }
    
31. 
    
32.         if(!v0_1.equals("")) {
    
33.             v0_1 = v0_1.toUpperCase();
    
34.         }
    
35. 
    
36.         if(!a.l.equals("")) {
    
37.             a.l = a.l.toUpperCase();
    
38.         }
    
39. 
    
40.         if(v1.length() >= v6) {
    
41.             v1 = v1.substring(v1.length() - 7);
    
42.         }
    
43. 
    
44.         if(v2.length() >= v6) {
    
45.             v2 = v2.substring(v2.length() - 7);
    
46.         }
    
47. 
    
48.         if(v0_1.length() >= v6) {
    
49.             v0_1 = v0_1.substring(v0_1.length() - 7);
    
50.         }
    
51. 
    
52.         if(a.l.length() >= v6) {
    
53.             a.l = a.l.substring(a.l.length() - 7);
    
54.         }
    
55. 
    
56.         if(v1.length() != v5 || (this.d(v1))) {
    
57.             if(v2.length() == v5 && !this.d(v2)) {
    
58.                 v0_1 = String.valueOf(v2) + "B";
    
59.                 goto label_71;
    
60.             }
    
61. 
    
62.             if(v0_1.length() == v5 && !this.d(v0_1)) {
    
63.                 v0_1 = String.valueOf(v0_1) + "C";
    
64.                 goto label_71;
    
65.             }
    
66. 
    
67.             if(a.l.length() == v5 && !this.d(a.l)) {
    
68.                 v0_1 = String.valueOf(a.l) + "E";
    
69.                 goto label_71;
    
70.             }
    
71. 
    
72.             v0_1 = this.c();
    
73.         }
    
74.         else {
    
75.             v0_1 = String.valueOf(v1) + "A";
    
76.         }
    
77. 
    
78.     label_71:
    
79.         a.o = String.valueOf(v0_1) + "-2414";
    
80.         boolean v0_2 = v0_1.length() > 0 ? true : false;
    
81.         return v0_2;
    
82.     }

复制代码

上面便是注册码的产生计算的过程。继续查看class d 类。

1. public static boolean a(String arg3, String arg4) {
   
2.         boolean v0 = true;
   
3.         a.p = d.a(d.a.a(arg3));
   
4.         if(a.p.equals(arg4)) {
   
5.             a.q = true;
   
6.         }
   
7.         else {
   
8.             a.q = false;
   
9.             v0 = false;
   
10.         }
    
11. 
    
12.         return v0;
    
13.     }

复制代码

其中a.p中保存了真正的注册码，其中深入分析可知a.p实际上也是一个string。
注册机制的分析就到此结束了。
知道了注册机制，下面就让程序把自己的注册码吐出来
打开反编译的文件d.smali，找到如下代码：

1. .method public static a(Ljava/lang/String;Ljava/lang/String;)Z
   
2.     .locals 3
   
3. 
   
4.     const/4 v0, 0x1
   
5. 
   
6.     const/4 v1, 0x0
   
7. 
   
8.     sget-object v2, Lcom/nfbazi/qimen/a/d;->a:Lcom/nfbazi/qimen/a/b;
   
9. 
   
10.     invoke-virtual {v2, p0}, Lcom/nfbazi/qimen/a/b;->a(Ljava/lang/String;)Ljava/lang/String;
    
11. 
    
12.     move-result-object v2
    
13. 
    
14.     invoke-static {v2}, Lcom/nfbazi/qimen/a/d;->a(Ljava/lang/String;)Ljava/lang/String;
    
15. 
    
16.     move-result-object v2
    
17. 
    
18.     sput-object v2, Lcom/nfbazi/qimen/a/a;->p:Ljava/lang/String;
    
19. 
    
20.     sget-object v2, Lcom/nfbazi/qimen/a/a;->p:Ljava/lang/String;
    
21. 
    
22.     invoke-virtual {v2, p1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z
    
23. 
    
24.     move-result v2

复制代码

这个便是上面的 public static boolean a(String arg3, String arg4)方法，修改如下：


然后打包，签名，允许程序，并注册，其中注册码随便写。
然后在cmd中输入adb logcat -s SN:V
可以得到注册码如下所示：

然后用程序自己吐出来的注册码进行注册，提示注册成功，并可以升级该apk

沙发 你这让我激情无线啊- -

坐凳子 看不懂

楼主我建议你做一个新手系列   

都希望出教程

923004243 发表于 2015-7-24 16:11
楼主我建议你做一个新手系列

我也是刚接触，能力还达不到的

雪里红 发表于 2015-7-24 18:25
都希望出教程

等能力达到了，会出一些视频的，只是现在还达不到那个高度

不错的分享

教程不错，挺详细的，期待楼主更多的教程出来，顶下

感觉一脸懵逼 看不懂这些代码