443回答

39收藏

Android逆向之无加固下的Java层和Native层模拟的调度解决方案

信息分享 信息分享 124579 人阅读 | 443 人回复 | 2019-11-27

前言
嗯,夜幕爬虫安全论坛正式开放了,总是想着要写点什么,不能总是白嫖技术和方案啊,O(∩_∩)O哈哈~。

抱着此目的就有了今天这篇文章。

今天来聊下 Android 逆向的一个场景的解决方案(今天只聊 java 层和 native 层的解决方案,毕竟老板只要结果,不是吗?这里不说加壳加固,反 xposed,反 frida 的情况),此方案用于调度(简单 < 难度)级别的 native 函数,为什么要适用于难度大于简单级别的呐,因为简单的 native 不是不可以用,但是本着深追技术的目的,还是自己去分析 so,分析汇编,分析伪代码吧,正好也可以锻炼下自己。
引例
大家如果看过我写的这篇【AndServer+Service 打造 Android 服务器实现 so 文件调用】文章的话,应该可以理解到我的用意。

其适用场景:

1,so 没有效验包名,签名什么的

2,native 函数的入参,没有 context 等特殊对象
言归正传
今天的主题就是解决引例中的方案的局限性,依靠注入目标 app 进程,完成调度,所有的东西都是目标 app 的,我们只是依靠注入框架,拿来用一下而已,一切看起来都是那么的和谐 and 理所当然。

1,frida-rpc + server

个人感觉用于开发测试中还行,生产恐怕不太适合,还要连接pc,还要启动手机端的 frida-server,一重启设备还要重新弄,麻烦。但是开发环境中 frida 地位是毋庸置疑的。

2,xposed + server

推荐 xposed 模块 + 现在用AndroidAsync了(ps:以前用NanoHTTPD) 调度

3,xposed + client

推荐 xposed 模块 + sekiro 调度

这里有必要说明下,个人感觉设备作为 client 的调度方式应该为该解决方案的最终版本,这样可以由调度平台统一管理众多 client,"群控"调度,有诸多优势,这里就不细说了,具体优点可以查看 sekiro 的说明文档。sekiro 调度平台由逆向大佬 virjar 开发,十分推荐,这里是 【传送门

当然,三种方案都需要【目标app的运行 + 注入框架】,然后自己手动编写 hook主动调用 逻辑,提供给调用方即可。
不管是 client 方式也好 server 方式也罢,其目的都是为了进行通信,模拟加密等主要逻辑还是在于 hook 逻辑的编写,当然也并不一定要使用 xposed ,也可以选择其他的类注入框架,这就看个人选择了。

特别说明:上面提到的"群控"调度,并非【appium,airtest + 中间人】的那种群控,两种方式完全是不一样的思想,airtest 这类的工具主要还是依赖 adb 完成自动化的操作。而今天说的这个解决方案,更多的是,依赖内存中【目标app】的类或实例调用其方法,完成加密,解密等一系列操作。两种群控方案的优劣势可想而知,被 adb 群控方案折磨的爬虫开发者恐怕大有人在。
实现
空洞的文字可能显得没有说服力,说一下我目前用此方案的实现成果。

1,某手

sig, __NS_sig3 的模拟生成

2,某音

as,cp,mas X-Gorgon 的模拟生成

3,某信

hook 文章推送,hook key的生成,hook 转链接,api 调度自动发消息机器人,自动回复,*信文章自动点赞,公*号自动关注,自动取关

*信 key 的 hook:



当然,其中有些可以不用写成 server 或 client,比如 hook 文章推送,只需要拦截到推送的 Msg ,写个 okhttp 之类的东西,发送到你的 web 端就好了。

[ttreply]
补充
刚才淇哥给我提到了安卓的无障碍功能(也就是辅助功能,比如现在各家 rom 自带的抢红包助手,应用市场的省心安装,盲人模式的 TalkBack 等),都是基于此服务做的实现,我想了一下,此功能很适合有些场景。举个简单的例子,比如*信 hook key 的实现,我是先 start 其 WebView 组件所在的 Activity,让其 load 我们的目标 url,hook 到 key 之后返回 response,这样一次【请求->响应】 的过程就结束了。但是,正常生产环境中,我们可能还需要 finish 掉这个 activity 回到上个 activity 的需求,我目前是利用 hook Activity 的 onCreate 方法,然后再 postDelayed 一下 finish 掉该 activity。此方案基于 xposed 的注入而实现,但我们有时确实可以换一个思路,用安卓官方提供的这个 AccessibilityService 然后自定义一个 Service 监听事件就好了。确实是个不错的思路,为淇哥打 Call !
结语
好吧,今天没有 demo 和代码可以放,最近比较忙,我又不可能放出公司的代码。所以今天的文章旨在介绍一个思路和提供一个实现调用 java 层和 native 层的技术方案,爱动手的同学可以按照自己的理解进行实践操作,或许有时候多踩坑才能有更多的理解,这谁说的准呐。

后续有时间的话,再补上代码和示例吧,最近实在太头晕了,o(╥﹏╥)o
再次补充
2020-04-06,突然在网上看到了不错的相关文章和分析,大家可以尝试多点参考和理解


1,浪哥的 sekiro 原理分析:https://github.com/langgithub/sekiro-lang

2,xsren哥哥的 sekiro 实践:https://www.jianshu.com/p/6b71106c45eb?from=timeline

3,实践出真知

[/ttreply]




欢迎关注我的公众号【妄为写代码】,一起交流学习





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
分享到:
回复

使用道具 举报

回答|共 443 个

明天好吗

发表于 2019-11-27 10:51:27 | 显示全部楼层

支持花哥
回复

使用道具 举报

山那边的瘦子

发表于 2019-11-27 10:53:35 | 显示全部楼层

真想给你一朵小花花,支持一下
回复

使用道具 举报

莫枫

发表于 2019-11-27 10:57:02 | 显示全部楼层

666
回复

使用道具 举报

陈祥安

发表于 2019-11-27 11:03:04 | 显示全部楼层

666
回复

使用道具 举报

lion

发表于 2019-11-27 11:05:51 | 显示全部楼层

支持花哥
回复

使用道具 举报

Misirluo

发表于 2019-11-27 11:08:48 | 显示全部楼层

66666
回复

使用道具 举报

katerin

发表于 2019-11-27 11:18:10 | 显示全部楼层

补充下吧 之前有在群里和一个大佬讨论过,可以采用genymotion + ubuntu + virtualBox + Xposed + NanoHTTP的方法在服务器上部署,可以实现无远程无真机破解加密,hook等等操作,只有你想不到基本上没有做不到的,已经实践过是可以的,并发大概在200以内
回复

使用道具 举报

花儿谢了

发表于 2019-11-27 11:24:09 | 显示全部楼层

   katerin  补充下吧 之前有在群里和一个大佬讨论过,可以采用genymotion + ubuntu + virtualBox + Xposed + NanoHTTP的方法在服务器上部署,可以实现无远程无真机破解加 ...
可以这样做,无非就是真机和模拟器的区别。。。这种东西不用拘泥了吧。。。还有就是,模拟器有种种可以吐槽的地方。。。,并发感觉和设备,框架,调度方式都有关,可以看看渣总的sekiro,大佬出品,必属精品。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

thunder

发表于 2019-11-28 14:38:22 | 显示全部楼层

好文章
回复

使用道具 举报

300 积分
10 主题
热门推荐