首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[求助]遇到一个AndroidManifest被混淆加密的,想知道这种是怎么做到的,apk可以正常安装和打开。
发表于: 2022-5-21 02:00 12780

[求助]遇到一个AndroidManifest被混淆加密的,想知道这种是怎么做到的,apk可以正常安装和打开。

mb_ecsiujxp 活跃值
2022-5-21 02:00
12780

 

我按照axml的格式去解析,解析string pool的时候,遇到一个60EA,这个地方表示字符串个数,但是明显这不是一个正常值,就算按照这个个数去解析,依然解析不到正常的string pool, 我其实不好奇怎么复原,我好奇的是这种是怎么做到的?具体是原理是什么?

 

图片描述

 

apk上传不了,只能上传单个的AndroidManifest.xml文件了,


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 1
支持
分享
最新回复 (9)
iamshy
雪    币: 2270
活跃值: (2743)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2

前面步骤可以看看https://bbs.pediy.com/thread-272045.htm,还有就是命名空间的android字符串被替换成了一个很大的字符串导致jadx解析是出错,把被替换的字符串填回(07 00 61 00 6E 00 64 00 72 00 6F 00 69 00 64 00 00 00),然后修改字符串的偏移就可以了,量有点大建议写个脚本

2022-5-21 10:15
0
mb_ecsiujxp
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
iamshy 前面步骤可以看看https://bbs.pediy.com/thread-272045.htm,还有就是命名空间的android字符串被替换成了一个很大的字符串导致jadx解析是出错,把被替换的字符串 ...

所以安卓系统是不处理android这个字符串的吗。可能是

问题一: 

还有你怎么看出来是android被替换了,厉害啊, 

问题二:

 他后面还有一堆乱码,这个是为什么?

最后于 2022-5-22 00:11 被mb_ecsiujxp编辑 ,原因:
2022-5-21 17:50
0
falconnnn
雪    币: 232
活跃值: (1793)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
私信
4
改三个地方,magic number,2楼说的07 00 61 00 6E 00 64 00 72 00 6F 00 69 00 64 00 00 00,字符串个数改成354,然后jadx就可以分析了,字符串本身的偏移是对的,不用改,中间一大片是垃圾数据不用管
2022-5-21 23:59
0
mb_ecsiujxp
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
falconnnn 改三个地方,magic number,2楼说的07 00 61 00 6E 00 64 00 72 00 6F 00 69 00 64 00 00 00,字符串个数改成354,然后jadx就可以分析了 ...

试了,改完这3个地方后,不行,然后改了chunck size为30196,  重新打包jadx还是解不出来。估计还是需要改偏移的,其实我不想知道怎么复原,我想知道这样的xml怎么生成呢?

最后于 2022-5-22 08:22 被mb_ecsiujxp编辑 ,原因:
2022-5-22 08:17
0
falconnnn
雪    币: 232
活跃值: (1793)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
私信
6
mb_ecsiujxp falconnnn 改三个地方,magic number,2楼说的07 00 61 00 6E 00 64 00 72 00 6F 00 69 0 ...

我确实就改了这三处,jadx用的是最新版,至于是如何生成的我也不清楚(可能是生成apk后修改后重打包?),而且我也比较好奇改成android那个字段系统是不会验证还是他有啥办法能改回去

2022-5-22 10:59
0
mb_ecsiujxp
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
7
falconnnn 我确实就改了这三处,jadx用的是最新版,至于是如何生成的我也不清楚(可能是生成apk后修改后重打包?),而且我也比较好奇改成android那个字段系统是不会验证还是他有啥办法能改回去
我也可以了,我是把中间的一大段给替换成android导致不成功的,原来只要改前几个字符就行
2022-5-22 15:33
0
阿耿
雪    币: 34
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8

很好奇这个样本,刚好在研究这块,可以私发邮件吗 260529395@qq.com? 

初步解析的部分结果 :

Start Element
ns=-1
name=application
attributeStart=20
attributeSize=20
attributeCount=9
idIndex=0
classIndex=0
styleIndex=0
attribute
prefix=http://schemas.android.com/apk/res/android
uri=theme
rawValue=-1
typedValue=res_value
type=1
data=(reference) 0x7f100009
attribute
prefix=http://schemas.android.com/apk/res/android
uri=label
rawValue=-1
typedValue=res_value
type=1
data=(reference) 0x7f0f0078
attribute
prefix=http://schemas.android.com/apk/res/android
uri=icon
rawValue=-1
typedValue=res_value
type=1
data=(reference) 0x7f0800e5
attribute
prefix=http://schemas.android.com/apk/res/android
uri=name
rawValue=com.gaoyuan.mianshu.NimApplication
typedValue=res_value
type=3
data=com.gaoyuan.mianshu.NimApplication
attribute
prefix=http://schemas.android.com/apk/res/android
uri=allowBackup
rawValue=-1
typedValue=res_value
type=18
data=(boolean) false
attribute
prefix=http://schemas.android.com/apk/res/android
uri=supportsRtl
rawValue=-1
typedValue=res_value
type=18
data=(boolean) true
attribute
prefix=http://schemas.android.com/apk/res/android
uri=usesCleartextTraffic
rawValue=-1



2023-4-18 11:38
0
Firear
雪    币: 200
活跃值: (235)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9

没什么特别的直接修复了


上传的附件:
2023-4-20 16:15
0
小海CC
雪    币: 130
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
Firear 没什么特别的直接修复了
大佬,知道这种方式是怎么实现的吗?
2023-4-28 09:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//