首页
社区
课程
招聘
[原创]关于某某精灵 AutoJs 图色类脚本如何分析+Dump源码
发表于: 2022-11-10 01:46 24330

[原创]关于某某精灵 AutoJs 图色类脚本如何分析+Dump源码

2022-11-10 01:46
24330

前言
在学习的过程中,遇到的问题在论坛没有找到相关的解决方案,目前已解决,发帖的目的是为了分享给想要从事黑白鉴定工作且没有分析过图色类脚本软件的网友,羊毛党经常会使用这种工具来作案,由于本人刚刚入门在写贴的过程中可能会存在不正确的地方,希望各位网友多多包涵

使用到的工具
GDA免费版
Notepad++
Auto.js脚本提取器

正文
如何去分析图色类的脚本,拿到一个图色类软件的样本,拖到查壳工具一看没壳开心的一批,于是拖到反编译工具里面看发现全是跟脚本无关的代码

为什么会是这样呢,有基础都知道APK其实就是个压缩包,真正的Java代码会被编译后打包为Dex文件,Dex文件是由Dalvik或者ART虚拟机解释执行,我们都知道图色类脚本语言一般都是使用的lua或者JavaScript是不能通过Dalvik或者ART虚拟机解释执行的,它们分别是通过JavaScript目前使用两个JavaScript引擎解释执行 分别是:Rhino和Chrome,那么lua自然就是Lua解释器解释执行的,想要让安卓应用程序去执行lua代码或者JavaScript就得需要解释器去解释执行,那么我们看到的反编译后的代码可能就是解释器的代码,真正的脚本代码一般是会被保存在资源里面的,我们去翻一下APK目录

翻了一下APK包里面的目录猜测assets/project/main.js就是真正的脚本代码很明显是被加密的 接下来的问题就是如何去解密

解密思路
既然是使用的lua或JavaScript语言作为脚本语言那么就得需要相关的解释器去解释执行,解释器只认识它自己规定的语法肯定不认识加密的代码啊,也就是说它想要解释器执行就得把被加密的代码先还原为真正的代码再执行,一般解释器加载代码的函数都是loadluaFile(string ScriptPath),loadjsFile(string ScriptPath)
既然是ScriptPath,会不会可能存在运行时真正代码文件暴露的问题,就算不存在这个问题那么我们可以尝试去找到Load相关函数Hook把源码dump出来


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2024-6-21 23:12 被旺仔_小可爱编辑 ,原因:
上传的附件:
收藏
免费 6
支持
分享
最新回复 (11)
雪    币: 500
活跃值: (935)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
2022-11-10 03:14
0
雪    币: 10100
活跃值: (4506)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享
2022-11-10 10:56
0
雪    币: 1073
活跃值: (697)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享
2022-11-10 15:21
0
雪    币: 0
活跃值: (537)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
2022-11-11 17:00
0
雪    币: 2387
活跃值: (3264)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
大佬,不好意思,想问一下,我用工具dump出脚本后,打开是乱码,是中间还有其他步骤吗?样本是文件中的打招呼样本
2022-11-12 10:53
0
雪    币: 17
活跃值: (891)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
按键精灵dump点在哪呀 大佬 autojs很好dump 但是很多都有js加密了
2022-11-12 13:03
0
雪    币: 1837
活跃值: (2793)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8

dump出来后在代码里面找一个.txt结尾的url 然后去浏览器打开就是源码

最后于 2022-11-12 14:29 被旺仔_小可爱编辑 ,原因:
2022-11-12 14:21
0
雪    币: 1837
活跃值: (2793)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
NPC2000 大佬,不好意思,想问一下,我用工具dump出脚本后,打开是乱码,是中间还有其他步骤吗?样本是文件中的打招呼样本
dump出来后在代码里面找一个.txt结尾的url 然后去百度打开就是源码
2022-11-12 14:21
1
雪    币: 2387
活跃值: (3264)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
旺仔_小可爱 dump出来后在代码里面找一个.txt结尾的url 然后去百度打开就是源码
谢谢大佬
2022-11-13 08:29
0
雪    币: 47
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这个只能解密当前app,其他app不通用吧,这是最新的快照加密!
2024-2-21 19:54
0
雪    币: 116
活跃值: (1012)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
支持一下
2024-2-27 22:28
0
游客
登录 | 注册 方可回帖
返回
//