[原创]某盗链app逆向-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某盗链app逆向

发表于: 2019-12-4 14:58 13424

[原创]某盗链app逆向

白小菜

2019-12-4 14:58

13424

发现一个盗链的app，扒出来研究一下

跟进com.vst.player.parse.a.getCDNUrl_a，发现是直接反射调用的SoMananger类的getLiveUrl函数

跟进SoManager类（已重命名过），发现SoManager类在自加载dex中

看了一下上面的逻辑，加载的是android.jar和temp.jar

在/data/data/com.vst.live里搜索这两个文件，发现在cache目录下，导出，扔进010看一下，发现没有dex文件特征，放弃。

尝试用大佬的dumpdex（工具git：https://github.com/lasting-yang/frida_dump）工具从内存里直接把动态加载的dex拿出来

我是直接复制了dump_dex()函数到自己的js中：

从dump出的dex里搜SoManager，找到包含SoManager类的dex，但是无法解析出来

怀疑是优化过的dex（我测试用的手机是8.1.0的）

在/data/data/com.vst.live里搜索SoManager，发现vdex

把两个vdex文件用vdexExtractor转成dex文件一下（工具git见：https://github.com/anestisb/vdexExtractor）

命令：bin/vdexExtractor -i temp.vdex -o tmp --deps -f

出现下图表示转换成功：

得到两个dex文件

解析bi.dex，没什么东西

解析temp.dex看看, 发现SoManager

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2019-12-5 17:01 被白小菜编辑，原因：

上传的附件：

temp_classes.dex （800.95kb，51次下载）

收藏・17

免费・5

支持

最新回复 (20)
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1774 关注私信	Editor 2 楼感谢分享！ 2019-12-4 17:23 0
Oday小斯雪币： 1129 活跃值： (2756) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 3 楼感谢分享！ 2019-12-4 20:25 0
上海刘一刀雪币： 977 活跃值： (435) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 137 粉丝 13 关注私信	上海刘一刀 2 4 楼感谢分享 2019-12-4 21:52 0
ywkj 雪币： 1883 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ywkj 5 楼感谢分享 2019-12-5 06:38 0
whbill 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	whbill 6 楼感谢分享 2019-12-5 09:07 0
wx_Oh.漏雪币： 1 活跃值： (234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 1 关注私信	wx_Oh.漏 7 楼如果这样怎么才能防盗呢 2019-12-5 14:52 0
aihacker 雪币： 1380 活跃值： (1626) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 20 关注私信	aihacker 8 楼 “尝试用大佬的dumpdex（工具git：https://github.com/smartdone/Frida-Scripts/tree/master/unpack）工具从内存里直接把动态加载的dex拿出来我是直接复制了dump_dex()函数到自己的js中：” 你是照着这个重写的dump_dex()函数么？里面没有这个函数，我的不能用，手机是小米6X，系统版本是MIUI11 9.11.28 android9 最后于 2019-12-5 16:59 被aihacker编辑，原因： 2019-12-5 16:55 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 9 楼 aihacker   “尝试用大佬的dumpdex（工具git：https://github.com/smartdone/Frida-Scripts/tree/master/unpa ... https://github.com/lasting-yang/frida_dump 这个这个！感谢大佬… 2019-12-5 17:02 0
aihacker 雪币： 1380 活跃值： (1626) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 20 关注私信	aihacker 10 楼我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦 2019-12-5 17:14 0
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 11 楼是什么版本的，，刚看了下很多对不上 2019-12-5 19:31 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 12 楼 aihacker 我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦就直接make一下就可以了，我编译的时候没遇到什么坑 2019-12-5 19:43 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 13 楼 gtict 是什么版本的，，刚看了下很多对不上当前官网那个版本V2.3.9.5，是不是自加载的dex变了？最后于 2019-12-5 19:45 被白小菜编辑，原因： 2019-12-5 19:44 0
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 14 楼老哥可以加个好友吗，我想请教一下 2019-12-10 03:30 0
ENTER_772918 雪币： 65 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ENTER_772918 15 楼非常感谢您的分析！！！ 2019-12-23 16:08 0
wcofen 雪币： 46 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wcofen 16 楼 666~ 动手能力真强 2019-12-24 18:07 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 17 楼 wx_Oh.漏如果这样怎么才能防盗呢用反射就好了。 2019-12-24 21:56 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 18 楼感谢大佬地分享,又学到了! 2019-12-24 22:00 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 20 楼学习一下。最后于 2020-2-5 18:05 被无名侠编辑，原因： 2020-2-2 02:05 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 21 楼无名侠学习一下。出来看大佬 2020-2-5 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

白小菜

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1774 关注私信	Editor 2 楼感谢分享！ 2019-12-4 17:23 0
Oday小斯雪币： 1129 活跃值： (2756) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 3 楼感谢分享！ 2019-12-4 20:25 0
上海刘一刀雪币： 977 活跃值： (435) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 137 粉丝 13 关注私信	上海刘一刀 2 4 楼感谢分享 2019-12-4 21:52 0
ywkj 雪币： 1883 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ywkj 5 楼感谢分享 2019-12-5 06:38 0
whbill 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	whbill 6 楼感谢分享 2019-12-5 09:07 0
wx_Oh.漏雪币： 1 活跃值： (234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 1 关注私信	wx_Oh.漏 7 楼如果这样怎么才能防盗呢 2019-12-5 14:52 0
aihacker 雪币： 1380 活跃值： (1626) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 20 关注私信	aihacker 8 楼 “尝试用大佬的dumpdex（工具git：https://github.com/smartdone/Frida-Scripts/tree/master/unpack）工具从内存里直接把动态加载的dex拿出来我是直接复制了dump_dex()函数到自己的js中：” 你是照着这个重写的dump_dex()函数么？里面没有这个函数，我的不能用，手机是小米6X，系统版本是MIUI11 9.11.28 android9 最后于 2019-12-5 16:59 被aihacker编辑，原因： 2019-12-5 16:55 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 9 楼 aihacker   “尝试用大佬的dumpdex（工具git：https://github.com/smartdone/Frida-Scripts/tree/master/unpa ... https://github.com/lasting-yang/frida_dump 这个这个！感谢大佬… 2019-12-5 17:02 0
aihacker 雪币： 1380 活跃值： (1626) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 20 关注私信	aihacker 10 楼我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦 2019-12-5 17:14 0
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 11 楼是什么版本的，，刚看了下很多对不上 2019-12-5 19:31 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 12 楼 aihacker 我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦就直接make一下就可以了，我编译的时候没遇到什么坑 2019-12-5 19:43 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 13 楼 gtict 是什么版本的，，刚看了下很多对不上当前官网那个版本V2.3.9.5，是不是自加载的dex变了？最后于 2019-12-5 19:45 被白小菜编辑，原因： 2019-12-5 19:44 0
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 14 楼老哥可以加个好友吗，我想请教一下 2019-12-10 03:30 0
ENTER_772918 雪币： 65 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ENTER_772918 15 楼非常感谢您的分析！！！ 2019-12-23 16:08 0
wcofen 雪币： 46 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wcofen 16 楼 666~ 动手能力真强 2019-12-24 18:07 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 17 楼 wx_Oh.漏如果这样怎么才能防盗呢用反射就好了。 2019-12-24 21:56 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 18 楼感谢大佬地分享,又学到了! 2019-12-24 22:00 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 20 楼学习一下。最后于 2020-2-5 18:05 被无名侠编辑，原因： 2020-2-2 02:05 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 21 楼无名侠学习一下。出来看大佬 2020-2-5 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复