工具：IDA6.6，不会发图，只能用文字描述了。
研究过《遇见》登录的同学可能都知道，只要修改过APK，在登录时都会提示软件盗版。
经研究登录时safecode字段有问题，可能是验证了签名。在libiaroundnet.so中Java_net_iaround_utils_NativeLibUtil_aaa实现。

步骤1:下载  bfcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6V1L8%4N6F1i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6V1j5i4c8S2i4K6u0r3N6$3W2K6k6h3N6S2L8h3g2Q4x3V1j5H3x3e0p5%4x3X3g2T1z5h3t1J5j5U0t1#2k6h3b7^5i4K6u0r3P5i4g2B7K9h3q4F1i4K6g2X3y4e0M7H3i4K6u0W2j5i4m8C8
将yujian_570.apk改名为yujian_570.zip，将lib目录下的lib\armeabi\libiaroundnet.so提取出来拖入IDA中。

步骤2：
    拖进来后发现SHA1Input，SHA1Output这样带有SHA1的函数，断定SO中用到了SHA1加密算法。

步骤3：
    查看Java_net_iaround_utils_NativeLibUtil_aaa函数按F5出来C的伪代码，此时代码还不易读懂，不如像“v9 = (*(int (**)(void))(v8 + 124))()”，这样的代码。但是看到这个我们是不是应该想到C++里面的内存的寻址？，成员变量的首地址=对象的首地址+成员变量在类中的偏移.
假如
Struct node
{
      int,x,y;
};
node a;如果A的首地址是0x00000000,那么a.x的地址是0x00000000，a.y的地址是0x00000004;
由C伪代码我们不难得出：v8是JNIEnv *类型，查看jni.h并计算我们不难发现v8 + 124是GetObjectClass函数指针，同理我们可以计算出其他类似的调用。

步骤4：
     有了步骤三的基础，我们可以想到一个简便的方法就是导入jni.h,从而确定JNIEnv类的结构，借助IDA直接识别函数。下载jni.h（虫大大书上修改JNI.H的方法貌似不好使，我自己改了个）：728K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0q4K6K9U0y4q4j5g2c8F1i4K6u0o6i4@1f1%4i4K6R3@1i4@1t1$3i4@1f1#2i4K6V1H3i4K6S2q4c8X3W2D9k6g2)9J5k6q4)9J5y4X3N6@1i4K6y4n7e0r3!0S2k6l9`.`. File->parse C header file... 选择下载好的jni.h确定。然后在structures页面里按下insert键
->add standard structure->滑到最下方选择"JNIEnv_",然后确定。

步骤5：
    返回伪代码界面，鼠标点击Java_net_iaround_utils_NativeLibUtil_aaa的第一个参数，右键->convert to struct*->选择jnienv_*,这时，伪代码中不明函数的调用已经出来。
刚刚的(*(int (**)(void))(v8 + 124))()已经变成 ((int (*)(void))v8->GetObjectClass)();
这时只要仔细阅读伪代码就知道该函数做了啥，逆向的C代码为：

[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦！！！