某app,看了一些大佬写了相关的纯算文章，深感工作量的庞大，作为采集菜鸡，本着能采一点是一点，实在不行就人工爬取的态度，琢磨了一下frida hook注册配合改机软件注册设备的方式，跑了一段时间，最近疑似平台改版，又得东改西改的，这里浅浅分享一下。

抓包使用的Reqable，在设备初次登陆的时候，会触发call接口的第一次，生成关键设备参数sk，后续重新进入app，也会触发call接口，但就不是第一次了(你懂的)

这个call接口的逻辑，就是通过携带了如图这个一长串加密了的请求体进行设备的注册，使用平台的data解密的算法解密一下大致如下（敏感数据已作处理）

上述已经解密出来的众多参数，我咋知道这些玩意儿啥用呢，作为没经验的ios初学者，就只能一个一个去hook分析。这里要分析的所有参数都来自这么一个字典形式body，所以一开始，我们只能猜测并进行模糊的hook,hook一下字典添加元素的操作，- setObject:forKeyedSubscript:方法，并加一个判断，判断这个添加进去的元素是xxx，这样就能针对性去分析某一个参数了。

hook结果如下

解压ipa文件获取内部Mach-O可执行文件，将可执行文件拖入ida,跟到第一个位置0x9d5602c,对应着sub_10ADD98E0,这里对应的就是将参数设置到字典中的逻辑。v592代指的字典，v537代指就是被设进去的参数了。

基于刚才的逻辑，对body里面每一个参数进行hook跟栈找到位置，ida中看逻辑，如上图所示，每一个设置到字典中的v537,找到上方离它最近的位置，追进去就是它的生成逻辑

比如这里就是对sharedInstance发送一个a1参数，这个函数对象具体咋实现的呢？在旁边ctrl+F搜索一下就完事儿了。

比如解密data中的ljbmc参数，使用我提供的模糊hook脚本hook一下，跟栈，在ida中找到逻辑如下，在左侧搜索点击setDuNorNYJInfo查看具体逻辑


这里的sub_10AD65F00的逻辑看不明白啥意思，可以尝试hook一下，比如这里传入的字符串是什么意思，hook的时候先看看汇编视图

如上图所示，可以hook 0x9CEA1FC,函数sub_10AD65F00的调用打印一下x2寄存器的值。

打印值如下

咱也看不明白，直接问一手AI吧


哟西，这逻辑不就是看你小子有没有越狱吗？接下来干嘛呢，像我这样的菜鸟就老老实实进去一点点看逻辑，打注释，如果是检测，就思考能不能hook绕过，或者伪装自己的参数，如果是随机值，就自己构造替换，是别的什么算法生成的字段，就去分析看看算法逻辑，总而言之，hook这个call接口的参数，挨着挨着去分析和修改参数，直到注册出来的设备能用，就ok了

里面还有与设备相关的参数，smid和bssm值就由fcuuid字段生成，这里我就是直接用ios中的改机软件改掉的。这一套就可以实现hook注册设备，并使用设备去注册账号请求平台登陆数据了
当然，风控一直再改，前两周方案一跑，意气风发，这两周就只能两眼一瞪，我干xx

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！