相关软件:
按键小精灵免root版本(已分析)
total control
游戏蜂窝(已下线)
hamibot
auto.js
关键权限:无障碍服务
官网:53cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5h3#2A6j5X3!0@1i4K6u0W2j5$3!0E0i4K6u0r3 , 能用来群控。
QQ音乐签到脚本为例子;
hamibot 可以实现,打开QQ音乐, 点击”我的“,点击”每日签到“,完成签到后,上划调出任务列表,划掉 QQ音乐。
关键点:
启动目标应用
目标点击位置确定手段
点击操作
de9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3M7X3!0Q4x3X3g2S2N6i4c8G2K9Y4y4Q4x3X3g2G2M7X3N6Q4x3V1k6V1L8$3y4K6i4K6u0r3P5X3S2Q4x3V1k6Y4N6h3W2V1k6g2)9J5c8R3`.`.
思路类似, 分为开源版本和商用版本,原理应该是类似的,先看开源版本研究原理,再从商用版本验证。
群控软件, 9d2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4A6k6$3#2S2i4K6u0V1M7Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5c8Y4c8U0i4K6u0r3M7$3y4J5K9i4m8@1i4K6u0r3K9Y4y4Q4x3X3c8S2M7r3W2Q4x3X3g2H3K9s2m8Q4x3@1k6$3k6i4u0K6K9h3!0F1i4K6y4p5z5g2)9J5k6e0m8Q4x3X3g2#2x3e0u0Q4x3U0k6S2L8i4m8Q4x3@1u0U0L8$3c8W2i4K6y4p5d9W2y4Q4x3X3g2m8f1p5W2Q4x3X3g2x3K9i4y4@1i4K6t1$3j5h3#2H3i4K6y4n7N6X3g2J5K9h3k6&6i4K6y4p5x3e0p5K6y4K6u0Q4x3X3b7K6i4K6u0W2y4q4)9J5k6e0l9`.
看接口可能使用input event来实现
关键权限:申请录制屏幕权限
申请录制权限,可能用于识图。
启动应用
点击
从四个软件分析, 实现模拟点击分为3种情况
root权限
无障碍服务
免root,不使用无障碍
先从按键小精灵免root开始。
先看logcat
发现关键类没有执行,发现了其他进程(能不能通过代码辅助定位到其他进程呢 , 这里有运气成分,猜出来了)。
悬浮窗进程在com.xxx.xxx:enginfloat , 悬浮窗的类com.cyjh.elfin.floatingwindowprocess.floatview.ElfinFloatView
点击开始时的日志
有点类似于VA ,按键小精灵自身来加载apk ,但是兼容性做的不好,实际无法自动打开app ,app会直接白屏。
执行脚本的日志。进程对象com.xxx.xxx:enginfloat
设计架构和按键精灵一致 ,悬浮窗或者服务,发送消息给其他进程完成操作
找到对应的handler处理函数
运行的实例
核心找f的实例,调用f实例的b方法。
OK , com.cyjh.mq.sdk.MqRunnerLite , 定位到最内部的一层
com.elfin.engin.c$4
这个方法是个接口 ,需要找到其实现。
com.cyjh.elfin.floatingwindowprocess.d.b$2
[招生]系统0day安全-IOT设备漏洞挖掘(第6期)!
我是一只马鹿 无障碍服务在EMUI旧版本会有问题,服务第二次启动后没dispatchGesture权限了
New对象处 之前看过按键编译出来的app,在悬浮球点击启动后有一个vip鉴权没追溯到
New对象处 而且有签名校验,so文件md5校验,在两个so里
pareto 不过 你捕捉到了客户端的行为,自己重新调用也能实现了