0x00
拿到一个xposed模块,注册功能挺有意思的,准备分析一下。然后。
这可真是。。。 辣眼睛
文件名类命名成员名方法名,名名王八蛋
字符流调用流加密流解密流,流流恶我心
注册的分析就先放放吧,首先一股脑还原这些混淆,这里出现了名称加密和字符串加密。
0x01
对于字符串加密,之前在github找到一个还原这种混淆的工具(https://github.com/CalebFenton/dex-oracle)。
作者CalebFenton有个巧妙的想法,中间的处理环节将smali文件抽取为由符号签名和参数所组成的待执行队列,和驱动类共同制作出一个可以用于单元测试的DEX文件,然后推送到手机上通过app_process执行,最后查看返回值就可以得到解密的字符串。
原作者是基于Linux来编写一系列脚本的,楼主实际运行的时候处于Windows平台,顺便做了些兼容性处理和BUG问题修复。
https://github.com/DXCyber409/dex-oracle
①修复驱动层Exception泄露,该BUG会导致driver层轻易罢工。
②去除脚本层对运行结果的僵硬检测,该BUG会导致脚本层轻易罢工。
③增加了patch/win目录下的Windows运行小脚本。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课