目前很多 App 的加密签名算法都在so文件中,强行逆向so的话可能会消耗大量时间和资源。
之前用 xposed 采用 hook 的方法从程序计算签名,但是需要模拟器或者真机运行这个应用,使用效率不高。
也用过 jtype 启动JVM,然后通过 native 对so文件进行调用,因为每次都需要启动JVM,所以效率也不高。
unidbg 他不需要运行 app,也无需逆向 so 文件,通过在 app 中找到对应的 JNI 接口,然后用 unicorn 引擎直接调用 so 文件,所以效率相对要高不少。
unidbg特点
- 模拟JNI调用API,可以调用JNI_OnLoad
- 支持JavaVM,JNIEnv
- 模拟系统调用
- 支持ARM32和ARM64
- 内联钩子(Inline Hook)
- Android import hook
- iOS 的一些hook工具 fishhook and substrate and whale hook
- 支持简单的控制台调试器,gdb存根,实验性IDA android调试器服务器,指令跟踪,内存读/写跟踪
- 支持iOS objc和Swift
unidbg环境配置
unidbg下载链接: https://github.com/zhkl0228/unidbg
IntelliJ IDEA可用于编辑unidbg源
下载完成之后示导入到 IDEA 中,当然你需要准备好java环境(jdk、maven)

选择Maven

等待加载完成之后,运行src/…/encrypt 中的TTEncrypt测试用例

如果控制台打印相关调用信息,说明已经导入成功。

加载libcms.so
看过这篇文章的应该已经知道生成xg函数的位置,所以不具体说了。《抖音xgorgon(0401)》
下面准备调用libcms.so文件中的 leviathan 函数
首先在 src/test/resources 目录下新建文件夹dylib,放入libcms.so文件
libcms.so 下载地址: https://download.csdn.net/download/weixin_43582101/12713664

然后我在 /unidbg/unidbg-android/src/test/java/com/sun/jna/ 目录下新建了 JniDispatch128.java文件

JniDispatch128.java文件内容如下:
后面会修改更新该java文件内容,这里不是版主没有修改权限 = =,所以贴上链接 。
您好,本帖含有特定内容,请回复后再查看。
“com/ss/sys/ces/a” | 需要调用函数所在的Java类完整路径,比如 a/b/c/d 等等,注意需要用/代替. |
“leviathan(II[B)[B” | 需要调用的函数名,名字是smali语法,可通过jadx等工具查看 |
“vm.loadLibrary(new File)” | so文件的路径,需要自行修改,最好为绝对路径 |
运行main方法即可查看生成出来的xgorgon了

more articles
更多douyin技术文章,可查看专栏:
https://blog.csdn.net/weixin_43582101/category_9529769.html