[分享]某短视频平台最新sig3字段算法分析(一)-Android安全-看雪安全社区

[分享]某短视频平台最新sig3字段算法分析(一)

发表于: 2025-1-12 16:13 51805

[分享]某短视频平台最新sig3字段算法分析(一)

HandsomeBro 活跃值

2025-1-12 16:13

51805

最近看到手里的某短视频APP来了兴致，特意拿来分析记录下，整个系列文章大概分为抓包，java层分析，so定位，so去花，unidbg，算法还原等几个部分，这几篇文章会记录下我的整个调试过程，前面的文章会比较基础，入门级玩家基本可以略过了，因为考虑到文章的连续性我这边还是会记录发表下。

因为需要对关键字段的算法进行分析，所以个人习惯还是要先抓下协议看一下，先不管别的用BurpSuite抓个包出来看下

抓到后总体感觉进包速度跟APP的流量不太匹配，感觉大概率是走了其他协议。既然抓到的包里面有sign字段，就先从sign字段入手看下，

用frida hook看下调用栈

后面根据调用栈顺藤摸瓜分析就好，最后找到了发送函数发现跟okhttp有关

试着将okhttp的接口发送与接收接口打印一下看看

找到了__NS_sig3字段，这个是我们需要分析算法的字段，之前Burp Suite抓不到包的原因也出来了，走的是quic协议。

直接在代码搜索__NS_sig3进行定位

一直往里面进

调用接口找到了

直接搜索C0526k开始

至此，so与调用so的接口都确定下来了。

将定位到的lib文件导入IDA，f5之后发现 JNI_OnLoad出现jumpout了

直接汇编先分析一下

从注释基本都可以看出来，前期开栈到恢复栈，就弄了一堆花里胡哨的算了下绝对跳转地址，x0与x1未变化，也比较符合花指令的特性。只要把前面的垃圾指令nop掉，绝对跳转改成相对跳转即可。

先手动使用IDA插件Keypatch试一下，先nop掉垃圾指令。

在修改跳转指令为相对跳转

修改完需要导入patch到so中

重新用IDA打开按F5即可生效，但是一个个修改比较麻烦，还是需要用脚本根据特征码定位进行修改会比较方便，对比JNI_OnLoad与JNI_UnLoad就会发现特征码比较明显

登录后可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#逆向分析

收藏・30

免费・10

支持

最新回复 (15)
mb_ldbucrik 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 490 粉丝 5 关注私信	mb_ldbucrik 2 楼向大佬学习 2025-1-12 16:21 0
逍遥无极天雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	逍遥无极天 3 楼学到了 2025-1-13 10:24 0
visow 雪币： 358 活跃值： (1893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	visow 4 楼大佬牛逼，向大佬学习。 2025-1-17 13:59 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 5 楼有相关附件吗？想实现一下 2025-1-22 22:12 0
HandsomeBro 雪币： 2160 活跃值： (1110) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 5 粉丝 69 关注私信	HandsomeBro 6 楼 bluegatar 有相关附件吗？想实现一下私信给你了 2025-1-22 22:49 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 7 楼 function hook_so() { var base = Module.findBaseAddress("libkwsgmain.so"); if (base) { var addr_doCommandNative = base.add(0x40cd4); Interceptor.attach(addr_doCommandNative, { onEnter: function (args) { console.log("doCommandNative() args[2] = " + args[2]) }, onLeave: function (retval) { } }) var addr_gdbf = base.add(0x408a4); Interceptor.attach(addr_gdbf, { onEnter: function (args) { console.log("gdbf() enter") }, onLeave: function (retval) { } }) var addr_dcabk = base.add(0x40948); Interceptor.attach(addr_dcabk, { onEnter: function (args) { console.log("dcabk() enter") }, onLeave: function (retval) { } }) var addr_gdgi = base.add(0x403bc); Interceptor.attach(addr_gdgi, { onEnter: function (args) { console.log("gdgi() enter") }, onLeave: function (retval) { } }) var addr_gksf = base.add(0x407f0); Interceptor.attach(addr_gksf, { onEnter: function (args) { console.log("gksf() enter") }, onLeave: function (retval) { } }) } } 这个流程是如何得到的？？？求解 2025-1-24 13:38 0
破绽百出雪币： 679 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 110 粉丝 1 关注私信	破绽百出 8 楼 HandsomeBro 私信给你了大佬我也要 2025-1-24 16:24 0
Conney 雪币： 733 活跃值： (1203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	Conney 9 楼 bluegatar function hook_so() {    var base = Module.findBaseAddress("libkwsgmain ... 报错的同时也打印了jni注册流程，是因为这一句： vm.setVerbose(true); //打印日志 2025-1-24 19:54 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 10 楼 Conney 报错的同时也打印了jni注册流程，是因为这一句：vm.setVerbose(true);    //打印日志多谢指导 2025-1-25 12:58 0
tubecityman 雪币： 344 活跃值： (1645) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	tubecityman 11 楼 frida.InvalidOperationError: script is destroyed 最后于 2025-1-31 02:10 被tubecityman编辑，原因： 2025-1-31 01:01 0
mb_zfqvurgb 雪币： 306 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	mb_zfqvurgb 13 楼大佬，想要相关unidbg 2025-5-30 23:55 0
wx_佳贤君雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_佳贤君 14 楼大佬有联系方式吗? 2025-8-9 19:15 0
吴俊雪币： 198 活跃值： (726) 能力值： ( LV2，RANK：15 ) 在线值：发帖 21 回帖 60 粉丝 0 关注私信	吴俊 15 楼学习 2025-8-11 11:16 0
mb_kgiaivmg 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_kgiaivmg 16 楼大佬有附件吗？想实现一下，跪求一份 2025-9-7 14:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

HandsomeBro

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
mb_ldbucrik 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 490 粉丝 5 关注私信	mb_ldbucrik 2 楼向大佬学习 2025-1-12 16:21 0
逍遥无极天雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	逍遥无极天 3 楼学到了 2025-1-13 10:24 0
visow 雪币： 358 活跃值： (1893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 1 关注私信	visow 4 楼大佬牛逼，向大佬学习。 2025-1-17 13:59 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 5 楼有相关附件吗？想实现一下 2025-1-22 22:12 0
HandsomeBro 雪币： 2160 活跃值： (1110) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 5 粉丝 69 关注私信	HandsomeBro 6 楼 bluegatar 有相关附件吗？想实现一下私信给你了 2025-1-22 22:49 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 7 楼 function hook_so() { var base = Module.findBaseAddress("libkwsgmain.so"); if (base) { var addr_doCommandNative = base.add(0x40cd4); Interceptor.attach(addr_doCommandNative, { onEnter: function (args) { console.log("doCommandNative() args[2] = " + args[2]) }, onLeave: function (retval) { } }) var addr_gdbf = base.add(0x408a4); Interceptor.attach(addr_gdbf, { onEnter: function (args) { console.log("gdbf() enter") }, onLeave: function (retval) { } }) var addr_dcabk = base.add(0x40948); Interceptor.attach(addr_dcabk, { onEnter: function (args) { console.log("dcabk() enter") }, onLeave: function (retval) { } }) var addr_gdgi = base.add(0x403bc); Interceptor.attach(addr_gdgi, { onEnter: function (args) { console.log("gdgi() enter") }, onLeave: function (retval) { } }) var addr_gksf = base.add(0x407f0); Interceptor.attach(addr_gksf, { onEnter: function (args) { console.log("gksf() enter") }, onLeave: function (retval) { } }) } } 这个流程是如何得到的？？？求解 2025-1-24 13:38 0
破绽百出雪币： 679 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 110 粉丝 1 关注私信	破绽百出 8 楼 HandsomeBro 私信给你了大佬我也要 2025-1-24 16:24 0
Conney 雪币： 733 活跃值： (1203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	Conney 9 楼 bluegatar function hook_so() {    var base = Module.findBaseAddress("libkwsgmain ... 报错的同时也打印了jni注册流程，是因为这一句： vm.setVerbose(true); //打印日志 2025-1-24 19:54 0
bluegatar 雪币： 2 活跃值： (3818) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 202 粉丝 6 关注私信	bluegatar 10 楼 Conney 报错的同时也打印了jni注册流程，是因为这一句：vm.setVerbose(true);    //打印日志多谢指导 2025-1-25 12:58 0
tubecityman 雪币： 344 活跃值： (1645) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	tubecityman 11 楼 frida.InvalidOperationError: script is destroyed 最后于 2025-1-31 02:10 被tubecityman编辑，原因： 2025-1-31 01:01 0
mb_zfqvurgb 雪币： 306 活跃值： (197) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	mb_zfqvurgb 13 楼大佬，想要相关unidbg 2025-5-30 23:55 0
wx_佳贤君雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_佳贤君 14 楼大佬有联系方式吗? 2025-8-9 19:15 0
吴俊雪币： 198 活跃值： (726) 能力值： ( LV2，RANK：15 ) 在线值：发帖 21 回帖 60 粉丝 0 关注私信	吴俊 15 楼学习 2025-8-11 11:16 0
mb_kgiaivmg 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_kgiaivmg 16 楼大佬有附件吗？想实现一下，跪求一份 2025-9-7 14:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复