[原创]分析IDA の "消失"的导出Jni静态函数-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]分析IDA の "消失"的导出Jni静态函数

发表于: 2021-5-11 01:07 11492

[原创]分析IDA の "消失"的导出Jni静态函数

Lunction

2021-5-11 01:07

11492

案例：某小说APP
参数：sign
作者：Lunction
时间：2021年5月10日

1、Findcrypt3 插件识别常见的加密算法（准确度仅供参考）

2、推荐龙哥的强大的FRIDA识别Hash脚本插件地址：https://github.com/Pr0214/findhash

3、IDA按 G 跳转到_ZN22MessageDigestAlgorithm4initEPKhj

4、最终的结果都是指向这里

POST /api/v1/login/index HTTP/1.1

net-env: 1

channel: qm-huawei65_lf

is-white: 0
platform: android

app-version: 51115
reg: 
AUTHORIZATION: 

qm-params: cLGZ4CG-uloLp3U1paHWHT9wgI9wgI9wthfLpqfQAIo5gaUzpzpztqpzpzp5Nh-Y4zHY43HjHSRUmqF5A5HwgI9wgI9wgaMMAI4wth4E4T-QgI9wgaMwgI9wNI9MpTHL4qf5taG-pCp14lfQmqF5A5HLgIHngIfwAhHnNI4eghozgh-Y4TR5pT0wphOMgyFrghFwAIG2pqHMNe0lpTuTgI0MgefUgI0YNeFEAIFlgLHjHzUx4LHWHT0wA-4nA-4LATKUA-pyATKlH5w5OE2etCp2O5HWHTK7g3rwH5w5u_GUOEk2paU1paHWH-kUg0kFFERsR-kMqoZE3zkluooTufuFchpYulQekMQamC2zmlxYN0UqgMdMRfuIqCRzk0RY3o1H3eFMc5JDOR-rcqJxRUsROCOluCpaR0JWtlN_BMGmRCO5taG1BqR1HTZ5gefrgIglgIKwgh0wNh4MH5w5BqJ-pqw5A5GshUNFHyJ7H_kxmqU2B5HjHSuj45U1BqR1HTZ5gefrgIglgIKwgh0wNh4MH5w5uln5tCR1paHWHTgUAI9eNT9rgI0ngIflNaHjHzNjmqR7uaU1paHWHzflpIgwNI9lgzR5ghfUNqH5taG5Ozo7paHWH-o7p_GDmqF5taGD4q2-HTZ5HSM=

sign: 786226e3e984253bcf6d14a0cc4f3475

QM-it: 1620580746

QM-ii: 1969128767

no-permiss: 0

User-Agent: webviewversion/51115

Content-Type: application/x-www-form-urlencoded

Content-Length: 124

Connection: Keep-Alive

Accept-Encoding: gzip
 
cancell_check=1&encrypt_phone=ghgrgI9ngeKwgI9=&gender=2&open_push=1&type=1&verify=1111&sign=5288f921bd48c316222ec51305b3f628

POST /api/v1/login/index HTTP/1.1

net-env: 1

channel: qm-huawei65_lf

is-white: 0

platform: android

app-version: 51115

reg:

AUTHORIZATION:

qm-params: cLGZ4CG-uloLp3U1paHWHT9wgI9wgI9wthfLpqfQAIo5gaUzpzpztqpzpzp5Nh-Y4zHY43HjHSRUmqF5A5HwgI9wgI9wgaMMAI4wth4E4T-QgI9wgaMwgI9wNI9MpTHL4qf5taG-pCp14lfQmqF5A5HLgIHngIfwAhHnNI4eghozgh-Y4TR5pT0wphOMgyFrghFwAIG2pqHMNe0lpTuTgI0MgefUgI0YNeFEAIFlgLHjHzUx4LHWHT0wA-4nA-4LATKUA-pyATKlH5w5OE2etCp2O5HWHTK7g3rwH5w5u_GUOEk2paU1paHWH-kUg0kFFERsR-kMqoZE3zkluooTufuFchpYulQekMQamC2zmlxYN0UqgMdMRfuIqCRzk0RY3o1H3eFMc5JDOR-rcqJxRUsROCOluCpaR0JWtlN_BMGmRCO5taG1BqR1HTZ5gefrgIglgIKwgh0wNh4MH5w5BqJ-

pqw5A5GshUNFHyJ7H_kxmqU2B5HjHSuj45U1BqR1HTZ5gefrgIglgIKwgh0wNh4MH5w5uln5tCR1paHWHTgUAI9eNT9rgI0ngIflNaHjHzNjmqR7uaU1paHWHzflpIgwNI9lgzR5ghfUNqH5taG5Ozo7paHWH

-o7p_GDmqF5taGD4q2-HTZ5HSM=

sign: 786226e3e984253bcf6d14a0cc4f3475

QM-it: 1620580746

QM-ii: 1969128767

no-permiss: 0

User-Agent: webviewversion/51115

Content-Type: application/x-www-form-urlencoded

Content-Length: 124

Connection: Keep-Alive

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-5-11 01:28 被Lunction编辑，原因：

#逆向分析 #NDK分析 #协议分析

收藏・24

免费・4

支持

最新回复 (9)
bluegatar 雪币： 27 活跃值： (1603) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 114 粉丝 2 关注私信	bluegatar 2 楼一句话，龙哥威武 2021-5-11 16:32 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 3 楼对呀导出表为啥没有呢？动态注册？ 2021-5-11 19:09 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 4 楼 F:\360MoveData\Users\Administrator\Desktop\IDA_Pro_v7.0_Portable\plugins\findhash.py: invalid syntax (F:/360MoveData/Users/Administrator/Desktop/IDA_Pro_v7.0_Portable/plugins/findhash.py, line 106) Traceback (most recent call last): File "F:\360MoveData\Users\Administrator\Desktop\IDA_Pro_v7.0_Portable\python\ida_idaapi.py", line 553, in IDAPython_ExecScript execfile(script, g) File "F:/360MoveData/Users/Administrator/Desktop/IDA_Pro_v7.0_Portable/plugins/findhash.py", line 106 value["describe"] = f"函数{value['funcName']}疑似哈希函数主体，包含初始化常数以及运算部分。" ^ SyntaxError: invalid syntax findHash安装出错 2021-5-15 16:07 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 5 楼 py脚本里的那个f是啥意思呀有他就报错 2021-5-15 16:20 0
Lunction 雪币： 9348 活跃值： (1825) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 132 粉丝 5 关注私信	Lunction 6 楼万里星河 py脚本里的那个f是啥意思呀有他就报错不支持7.0 还有推荐使用52破解的IDA7.5绿化版 2021-5-16 01:07 0
eviliori 雪币： 183 活跃值： (228) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 2 关注私信	eviliori 7 楼 Mark一下 2021-6-26 11:20 0
0xEA 雪币： 3056 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	0xEA 8 楼龙哥yyds！ 2021-6-29 15:57 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 9 楼我见过不调用registerNatives得动态注册，老阴了！ 2021-7-1 16:56 0
燕幕自安雪币： 1467 活跃值： (1054) 能力值： ( LV4，RANK：40 ) 在线值：发帖 10 回帖 42 粉丝 49 关注私信	燕幕自安 10 楼 Mark一下最后于 2021-7-4 15:06 被燕幕自安编辑，原因： 2021-7-4 15:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Lunction

发帖

132

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
bluegatar 雪币： 27 活跃值： (1603) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 114 粉丝 2 关注私信	bluegatar 2 楼一句话，龙哥威武 2021-5-11 16:32 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 3 楼对呀导出表为啥没有呢？动态注册？ 2021-5-11 19:09 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 4 楼 F:\360MoveData\Users\Administrator\Desktop\IDA_Pro_v7.0_Portable\plugins\findhash.py: invalid syntax (F:/360MoveData/Users/Administrator/Desktop/IDA_Pro_v7.0_Portable/plugins/findhash.py, line 106) Traceback (most recent call last): File "F:\360MoveData\Users\Administrator\Desktop\IDA_Pro_v7.0_Portable\python\ida_idaapi.py", line 553, in IDAPython_ExecScript execfile(script, g) File "F:/360MoveData/Users/Administrator/Desktop/IDA_Pro_v7.0_Portable/plugins/findhash.py", line 106 value["describe"] = f"函数{value['funcName']}疑似哈希函数主体，包含初始化常数以及运算部分。" ^ SyntaxError: invalid syntax findHash安装出错 2021-5-15 16:07 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 5 楼 py脚本里的那个f是啥意思呀有他就报错 2021-5-15 16:20 0
Lunction 雪币： 9348 活跃值： (1825) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 132 粉丝 5 关注私信	Lunction 6 楼万里星河 py脚本里的那个f是啥意思呀有他就报错不支持7.0 还有推荐使用52破解的IDA7.5绿化版 2021-5-16 01:07 0
eviliori 雪币： 183 活跃值： (228) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 2 关注私信	eviliori 7 楼 Mark一下 2021-6-26 11:20 0
0xEA 雪币： 3056 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	0xEA 8 楼龙哥yyds！ 2021-6-29 15:57 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 9 楼我见过不调用registerNatives得动态注册，老阴了！ 2021-7-1 16:56 0
燕幕自安雪币： 1467 活跃值： (1054) 能力值： ( LV4，RANK：40 ) 在线值：发帖 10 回帖 42 粉丝 49 关注私信	燕幕自安 10 楼 Mark一下最后于 2021-7-4 15:06 被燕幕自安编辑，原因： 2021-7-4 15:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复