[原创]分析XX助手获取Lua脚本明文-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]分析XX助手获取Lua脚本明文

发表于: 2015-4-29 15:06 24655

[原创]分析XX助手获取Lua脚本明文

飘云

2015-4-29 15:06

24655

您可以直接下载PDF文档：
逆向XX助手获取Lua脚本明文.zip

==========================================================
今天来看看xx助手的lua脚本解密

1. 找寻线索
/Library/MobileSubstrate/DynamicLibraries下面看到 XXScreenShot.dylib XXScreenShot.plist

Plist内容如下

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Filter</key>
<dict>
<key>Bundles</key>
<array>
<string>com.apple.backboardd</string>
</array>
</dict>
</dict>
</plist>

恩，明白了是hook了backboardd进程

2. 静态分析
IDA 载入 XXScreenShot.dylib --- 找到loadLuaData函数，分析发现是 tea算法

分析了一下，X23寄存器指向输出缓冲区

3. 动态调试

手机端运行：

Mac端运行：

4．下断

此时在目标程序上点击“播放”，让脚本载入

5．继续分析

由于前面用IDA分析过x23寄存器保存了输出数据，那么我们直接在0x103d12cdc下断点，此时x23已经得到了数据，下好断点后，继续运行，如下图，顺利中断

6．输出数据

此时lua脚本已经完整解密了！！！

7．编写tweak
我们可以写个tweak来抓取脚本

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

逆向XX助手获取Lua脚本明文.zip （1.55MB，273次下载）

收藏・17

免费・3

支持

最新回复 (19)
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 2 楼 mark. 2015-4-29 15:29 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 3 楼学习，赞一个，嘿嘿 2015-4-29 15:40 0
qinxijp 雪币： 45 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	qinxijp 1 4 楼 good job 2015-4-29 16:57 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 5 楼 x23是什么东西 2015-4-29 17:09 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 6 楼 ARM64 的寄存器 2015-4-29 17:13 0
wuaiwu 雪币： 839 活跃值： (2837) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 7 楼那个算法是公开的，直接windows解 2015-5-24 16:01 0
xtor 雪币： 212 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 8 楼 com.apple.backboardd 为什要hook这个进程？ 2015-6-11 16:52 0
xtor 雪币： 212 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 9 楼怎么才能动态调试DYLIB.一定要写TWEAK吗？ 2015-6-16 11:44 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 10 楼然而，可以直接对程序中的so进行分析，动态调试直接dump明文lua脚本的。 2015-6-16 12:02 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 11 楼表示看不懂。 2015-6-16 13:18 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 12 楼。。。。文章一直是在dylib中呢~~ 写个tweak是为了实验一下 2015-6-17 17:29 0
kevinmou 雪币： 8 活跃值： (219) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 2 关注私信	kevinmou 13 楼有些游戏，我注入后，发现游戏就会自动退出。是因为游戏有对MSHookFunction有检测，还是因为我Tweak代码有错？ #import "substrate.h" static int (org_func)(); int replace_func() { NSLog(@"this is the my hooked method"); return org_func(); } %ctor { @autoreleasepool { // 此为Hook地址。能Hook住，但是游戏却打不开了 unsigned long fuc_addr1 = 0x4AF840 \| 0x01 ; MSHookFunction((void )fuc_addr1,(void )&replace_func,(void *)&org_func); } } 这个Tweak能Hook，每打开游戏，在syslog里可以发现多输入了一行“this is the my hooked method”。但是游戏却会马上退出。 2015-9-12 14:40 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 14 楼能进入 replace_func() 能初步说明没有anti-dylib 这个你只需lldb挂上去看看就知道了 2015-9-14 09:53 0
youyinkai 雪币： 10 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 3 关注私信	youyinkai 15 楼顶一个！！！！ 2015-9-15 10:27 0
starbuck 雪币： 949 活跃值： (119) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 36 粉丝 2 关注私信	starbuck 1 16 楼还看不懂，。。。。。。。。。 2015-9-20 20:54 0
ChengQing 雪币： 573 活跃值： (1009) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	ChengQing 17 楼调用参数不正确或返回值不正确。 2015-12-10 17:22 0
mrmign 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mrmign 18 楼赞，学习了 2015-12-16 13:19 0
caihaonan 雪币： 27 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	caihaonan 19 楼太需要了！！正在学这个呢。。。 2016-1-8 09:41 0
cxjnet 雪币： 235 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cxjnet 20 楼非常不错谢谢 2017-9-15 14:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

飘云

发帖

189

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 2 楼 mark. 2015-4-29 15:29 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 3 楼学习，赞一个，嘿嘿 2015-4-29 15:40 0
qinxijp 雪币： 45 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	qinxijp 1 4 楼 good job 2015-4-29 16:57 0
guxinyi 雪币： 585 活跃值： (573) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 5 楼 x23是什么东西 2015-4-29 17:09 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 6 楼 ARM64 的寄存器 2015-4-29 17:13 0
wuaiwu 雪币： 839 活跃值： (2837) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 7 楼那个算法是公开的，直接windows解 2015-5-24 16:01 0
xtor 雪币： 212 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 8 楼 com.apple.backboardd 为什要hook这个进程？ 2015-6-11 16:52 0
xtor 雪币： 212 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 9 楼怎么才能动态调试DYLIB.一定要写TWEAK吗？ 2015-6-16 11:44 0
鬼谷子c 雪币： 507 活跃值： (130) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 10 楼然而，可以直接对程序中的so进行分析，动态调试直接dump明文lua脚本的。 2015-6-16 12:02 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 11 楼表示看不懂。 2015-6-16 13:18 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 12 楼。。。。文章一直是在dylib中呢~~ 写个tweak是为了实验一下 2015-6-17 17:29 0
kevinmou 雪币： 8 活跃值： (219) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 2 关注私信	kevinmou 13 楼有些游戏，我注入后，发现游戏就会自动退出。是因为游戏有对MSHookFunction有检测，还是因为我Tweak代码有错？ #import "substrate.h" static int (org_func)(); int replace_func() { NSLog(@"this is the my hooked method"); return org_func(); } %ctor { @autoreleasepool { // 此为Hook地址。能Hook住，但是游戏却打不开了 unsigned long fuc_addr1 = 0x4AF840 \| 0x01 ; MSHookFunction((void )fuc_addr1,(void )&replace_func,(void *)&org_func); } } 这个Tweak能Hook，每打开游戏，在syslog里可以发现多输入了一行“this is the my hooked method”。但是游戏却会马上退出。 2015-9-12 14:40 0
飘云雪币： 2443 活跃值： (464) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 189 粉丝 8 关注私信	飘云 1 14 楼能进入 replace_func() 能初步说明没有anti-dylib 这个你只需lldb挂上去看看就知道了 2015-9-14 09:53 0
youyinkai 雪币： 10 活跃值： (109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 3 关注私信	youyinkai 15 楼顶一个！！！！ 2015-9-15 10:27 0
starbuck 雪币： 949 活跃值： (119) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 36 粉丝 2 关注私信	starbuck 1 16 楼还看不懂，。。。。。。。。。 2015-9-20 20:54 0
ChengQing 雪币： 573 活跃值： (1009) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	ChengQing 17 楼调用参数不正确或返回值不正确。 2015-12-10 17:22 0
mrmign 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mrmign 18 楼赞，学习了 2015-12-16 13:19 0
caihaonan 雪币： 27 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	caihaonan 19 楼太需要了！！正在学这个呢。。。 2016-1-8 09:41 0
cxjnet 雪币： 235 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cxjnet 20 楼非常不错谢谢 2017-9-15 14:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复