首页
社区
课程
招聘
[原创]实战某信外挂插件之字符串还原
发表于: 2020-10-2 11:25 10102

[原创]实战某信外挂插件之字符串还原

2020-10-2 11:25
10102

  这是去年分析的一款某信定制版的多开app,用时三天。可能用的dexguard(不确定)保护的,所有的字符串全都加密了。本文介绍下还原方法。

  其实,破解绑定设备的软件,最基本的原理无非就是软件获取设备信息,然后传给服务端,服务端根据设备回一段特征串(pc机器可能就是二进制汇编,手机就是一些类、成员变量的字符串)。这款多开软件也不例外,传激活码和设备信息到服务端,服务器返回要hook的所有类名,然后在类中初始化所有字符串变量。自己搞服务器,或是直接patch掉java层的代码就能够破解。这是比较通用的方式,本文不分享这个,分享下怎么还原其它字符串。毕竟破解不是目的,看看它最终功能实现才是我想做的事情。

  字符串特征是逆向分析的突破口,所以,也是正向开发必须被重点保护的。分享下我自己开发软件保护字符串的方式:通常我会将所有的字符串定义都搞成统一格式:final string a = "test"(如这样,c++的话也是一样的);这样操作后,通过python脚本编译代码的时候,可能通过正则将代码中所有的字符串都找出来,然后拼接所有的字符串,最后压缩、加密、分割写会源代码文件,哈哈。程序运行时会在一个类中进行拼接、解密、解压缩,然后初始化hashmap,这样运行时,就可以根据key来获取字符串value了。所以,最好把这个类搞成单例。不过,这个类也成了唯一突破口。这种保护方式,也在一些恶意样本中常被用(比如c#版本的agenttesla)。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-10-2 11:29 被wuaiwu编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (14)
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
小白一枚,渴望学习,但是缺少资源,楼主有群吗
2020-10-2 17:32
0
雪    币: 2089
活跃值: (3933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
服务器下发字符串解密,这种不给钱是几乎不可能破解的啊。
2020-10-2 18:06
0
雪    币: 1385
活跃值: (5609)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
4
大佬,带带我。
2020-10-3 10:12
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
5

这个算法是魔力小**的嘛,早换壳跑路了。

字符串用堆栈动态算hash解密算是亮点,去年年初解密过没啥难度,java层加解密都是鸡肋..

它这套加密算法网上没公开,所以现在用到的人还是少,防小白白嫖是够了


2020-10-3 12:24
0
雪    币: 922
活跃值: (2952)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
6
sudami 这个算法是魔力小**的嘛,早换壳跑路了。字符串用堆栈动态算hash解密算是亮点,去年年初解密过没啥难度,java层加解密都是鸡肋..它这套加密算法网上没公开,所以现在用到的人还是少,防小白白嫖是够了
嗯,确实是你说的这样。
2020-10-3 13:43
0
雪    币: 1636
活跃值: (653)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
客户端的未来看似灰暗吗?
2020-10-5 11:07
0
雪    币: 922
活跃值: (2952)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
8
琅環玉碎 客户端的未来看似灰暗吗?
客户端前端化,手游桌游云游化
2020-10-5 14:56
0
雪    币: 1636
活跃值: (653)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
wuaiwu 客户端前端化,手游桌游云游化
这就是很多人转IOT的原因吗?
2020-10-6 09:38
0
雪    币: 922
活跃值: (2952)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
10
琅環玉碎 这就是很多人转IOT的原因吗?
嗯,需求导向吧
2020-10-7 17:32
0
雪    币: 212
活跃值: (161)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
好久没看到这样的分析文章了
2020-10-7 20:01
0
雪    币: 235
活跃值: (540)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12

大佬,请教个问题,dex字符串加密,每个类不同的加密方法,怎么用正则给他批量还原?

最后于 2020-10-12 18:02 被alds编辑 ,原因:
2020-10-12 18:01
0
雪    币: 922
活跃值: (2952)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
13
alds 大佬,请教个问题,dex字符串加密,每个类不同的加密方法,怎么用正则给他批量还原?
Jeb写脚本遍历所有的字符串和方法名。将deX转jar加载到工程里,然后根据jeb记录的类和方法名来还源,最后在smali里替换就完成所有还原了。
2020-10-14 09:36
0
雪    币: 189
活跃值: (192)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
这个字符串加密应该是用 dexprotector 加密的
2020-10-15 23:20
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
如何联系,想拜师
2020-11-23 13:50
0
游客
登录 | 注册 方可回帖
返回
//