Jadx打开程序

可知程序逻辑就是将用户名和密码进行拼接传入关键函数VVVVV.VVVV(this, str)，
继续看VVVV函数

可得知信息

后续的函数继续去观察会发现实际上就是一个sha1 + salt的加密,
又在运行程序后发现提示只能是数字，那么思路就清晰了，爆破！
解题方法根据要求写了两种，

直接上frida脚本,关键代码如下

最终拿到flag为66888

将APK中函数直接全部copy到一个java工程，运行一遍就行，实际上也是爆破，没啥差别

这里只展示了main函数代码,最终拿到flag为66888

check一下

拿到flag！！！

Jadx打开程序

可以发现实际上就是动态加载dex并调用动态加载的dex中的VVVV函数
jadx打开需要动态加载的dex

其实会发现算法和第一题是一样的。
直接写frida脚本，遍历ClassLoader选择正确的classLoader再对函数进行主动调用爆破得到

这里需要注意的是，脚本attach的时间，要在第一次输入进行check后再将脚本attach上去这样才能保证遍历ClassLoader能够得到DexClassLoader,即校验函数正确的ClassLoader。
最终得到爆破得到的flag为66999

但实际测试还不对，继续往回看，会发现有一个stringFromJNI的一层调用,这个函数是native函数，使用IDA打开

这个函数有点骚。。。就是将输入的数字字符串转换为int然后加了一返回了。。。
那么flag就很明显了，应该为66999-1 = 66998
check一下

正确！

这一题，其实就是第二题的进阶版，在第二题的基础上加了反调试，所以在这里只分析反调试部分，其余不管

这一题和第二题不同的地方在于在OnCreate函数中，调用了init函数，而这个函数是native函数

IDA打开这个so文件.

观察JNI_Onload函数可以发现java层的init函数被动态注册到init函数上去了. 详细介绍的话就涉及JNINativeMethod结构体了。这里不再赘述。
接下来就简单了，跟踪到init函数

观察函数名，可以清楚的了解到，这个函数实际上就是创建了一个新线程用于检测frida,跟踪这个函数， 伪代码如下

可以清楚的看到，实际上就是通过建立socket连接，遍历端口，检测是否有端口被占用，如果接收到"REJECT"则表明,frida-server在运行，并退出程序。
好了，理论逻辑分析完毕，接下来进行反反调试，根据r0ysue老师要求，三种方法

使用apktool将apk转换为smali然后，修改调用init函数的smali语句.具体来说
1.1. apktool 命令反编译为smali.

1.2 删除调用init函数的smali语句

对应我这,也就是删除MainActivity.smali的第397和398行
1.3 二次打包

这样就过了反调试了

这里就不赘述了，直接几乎照抄的r0ysue大佬星球里的，链接见这(r0ysue大佬，等会记得广告费结一下，溜了溜了)，这里也贴上我抄的代码吧(这里其实还有很多种其他更简单的方法，比如hook strcmp函数等等，我这里的代码还有很多的改进之处，仅供参考)

这里我注意到，在detect_frida_loop函数的最后，有一个strcmp函数的调用

对应汇编中

可以看到loc_1220分支和loc_1210分支分别为没有找到frida_server和退出进程,毫无疑问我们需要的是loc_1220，这里我选择将偏移为0x120C处的
B loc_1210这条汇编改为
B loc_1220,从而达到无论有没有检测到frida_server都不要退出进程的效果。

修改之后伪代码变成了

最终get Flag，之后的过程就和第二题一致了，脚本都不用变。
最终拿到flag为99998.

整体来说，三道题目其实都不是很难，其实就考察了一些frida的API的基本使用，希望能对刚入门frida的人有点帮助，最后附上题目附件

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课