[原创]实战某信外挂插件之字符串还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]实战某信外挂插件之字符串还原

发表于: 2020-10-2 11:25 10022

[原创]实战某信外挂插件之字符串还原

wuaiwu

2020-10-2 11:25

10022

这是去年分析的一款某信定制版的多开app，用时三天。可能用的dexguard（不确定）保护的，所有的字符串全都加密了。本文介绍下还原方法。

其实，破解绑定设备的软件，最基本的原理无非就是软件获取设备信息，然后传给服务端，服务端根据设备回一段特征串（pc机器可能就是二进制汇编，手机就是一些类、成员变量的字符串）。这款多开软件也不例外，传激活码和设备信息到服务端，服务器返回要hook的所有类名，然后在类中初始化所有字符串变量。自己搞服务器，或是直接patch掉java层的代码就能够破解。这是比较通用的方式，本文不分享这个，分享下怎么还原其它字符串。毕竟破解不是目的，看看它最终功能实现才是我想做的事情。

字符串特征是逆向分析的突破口，所以，也是正向开发必须被重点保护的。分享下我自己开发软件保护字符串的方式：通常我会将所有的字符串定义都搞成统一格式：final string a = "test"（如这样，c++的话也是一样的）;这样操作后，通过python脚本编译代码的时候，可能通过正则将代码中所有的字符串都找出来，然后拼接所有的字符串，最后压缩、加密、分割写会源代码文件，哈哈。程序运行时会在一个类中进行拼接、解密、解压缩，然后初始化hashmap，这样运行时，就可以根据key来获取字符串value了。所以，最好把这个类搞成单例。不过，这个类也成了唯一突破口。这种保护方式，也在一些恶意样本中常被用（比如c#版本的agenttesla）。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2020-10-2 11:29 被wuaiwu编辑，原因：

收藏・13

免费・2

支持

最新回复 (14)
游戏daera 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	游戏daera 2 楼小白一枚，渴望学习，但是缺少资源，楼主有群吗 2020-10-2 17:32 0
lhxdiao 雪币： 2089 活跃值： (3928) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 3 楼服务器下发字符串解密，这种不给钱是几乎不可能破解的啊。 2020-10-2 18:06 0
supperlitt 雪币： 1371 活跃值： (5599) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 30 关注私信	supperlitt 4 楼大佬，带带我。 2020-10-3 10:12 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼这个算法是魔力小**的嘛，早换壳跑路了。字符串用堆栈动态算hash解密算是亮点，去年年初解密过没啥难度，java层加解密都是鸡肋.. 它这套加密算法网上没公开，所以现在用到的人还是少，防小白白嫖是够了 2020-10-3 12:24 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 6 楼 sudami 这个算法是魔力小**的嘛，早换壳跑路了。字符串用堆栈动态算hash解密算是亮点，去年年初解密过没啥难度，java层加解密都是鸡肋..它这套加密算法网上没公开，所以现在用到的人还是少，防小白白嫖是够了嗯，确实是你说的这样。 2020-10-3 13:43 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 7 楼客户端的未来看似灰暗吗？ 2020-10-5 11:07 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 8 楼琅環玉碎客户端的未来看似灰暗吗？客户端前端化，手游桌游云游化 2020-10-5 14:56 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 9 楼 wuaiwu 客户端前端化，手游桌游云游化这就是很多人转IOT的原因吗？ 2020-10-6 09:38 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 10 楼琅環玉碎这就是很多人转IOT的原因吗？嗯，需求导向吧 2020-10-7 17:32 0
xtor 雪币： 212 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 11 楼好久没看到这样的分析文章了 2020-10-7 20:01 0
alds 雪币： 235 活跃值： (515) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 31 粉丝 1 关注私信	alds 12 楼大佬，请教个问题，dex字符串加密，每个类不同的加密方法，怎么用正则给他批量还原？最后于 2020-10-12 18:02 被alds编辑，原因： 2020-10-12 18:01 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 13 楼 alds 大佬，请教个问题，dex字符串加密，每个类不同的加密方法，怎么用正则给他批量还原？ Jeb写脚本遍历所有的字符串和方法名。将deX转jar加载到工程里，然后根据jeb记录的类和方法名来还源，最后在smali里替换就完成所有还原了。 2020-10-14 09:36 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 14 楼这个字符串加密应该是用 dexprotector 加密的 2020-10-15 23:20 0
mb_uiablshp 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	mb_uiablshp 15 楼如何联系，想拜师 2020-11-23 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wuaiwu

发帖

151

回帖

190

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
游戏daera 雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	游戏daera 2 楼小白一枚，渴望学习，但是缺少资源，楼主有群吗 2020-10-2 17:32 0
lhxdiao 雪币： 2089 活跃值： (3928) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 3 楼服务器下发字符串解密，这种不给钱是几乎不可能破解的啊。 2020-10-2 18:06 0
supperlitt 雪币： 1371 活跃值： (5599) 能力值： ( LV3，RANK：25 ) 在线值：发帖 19 回帖 396 粉丝 30 关注私信	supperlitt 4 楼大佬，带带我。 2020-10-3 10:12 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼这个算法是魔力小**的嘛，早换壳跑路了。字符串用堆栈动态算hash解密算是亮点，去年年初解密过没啥难度，java层加解密都是鸡肋.. 它这套加密算法网上没公开，所以现在用到的人还是少，防小白白嫖是够了 2020-10-3 12:24 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 6 楼 sudami 这个算法是魔力小**的嘛，早换壳跑路了。字符串用堆栈动态算hash解密算是亮点，去年年初解密过没啥难度，java层加解密都是鸡肋..它这套加密算法网上没公开，所以现在用到的人还是少，防小白白嫖是够了嗯，确实是你说的这样。 2020-10-3 13:43 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 7 楼客户端的未来看似灰暗吗？ 2020-10-5 11:07 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 8 楼琅環玉碎客户端的未来看似灰暗吗？客户端前端化，手游桌游云游化 2020-10-5 14:56 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 9 楼 wuaiwu 客户端前端化，手游桌游云游化这就是很多人转IOT的原因吗？ 2020-10-6 09:38 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 10 楼琅環玉碎这就是很多人转IOT的原因吗？嗯，需求导向吧 2020-10-7 17:32 0
xtor 雪币： 212 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 11 楼好久没看到这样的分析文章了 2020-10-7 20:01 0
alds 雪币： 235 活跃值： (515) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 31 粉丝 1 关注私信	alds 12 楼大佬，请教个问题，dex字符串加密，每个类不同的加密方法，怎么用正则给他批量还原？最后于 2020-10-12 18:02 被alds编辑，原因： 2020-10-12 18:01 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 13 楼 alds 大佬，请教个问题，dex字符串加密，每个类不同的加密方法，怎么用正则给他批量还原？ Jeb写脚本遍历所有的字符串和方法名。将deX转jar加载到工程里，然后根据jeb记录的类和方法名来还源，最后在smali里替换就完成所有还原了。 2020-10-14 09:36 0
zerofile 雪币： 189 活跃值： (192) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	zerofile 14 楼这个字符串加密应该是用 dexprotector 加密的 2020-10-15 23:20 0
mb_uiablshp 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	mb_uiablshp 15 楼如何联系，想拜师 2020-11-23 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复