-
-
[原创]某SDK搜集设备信息的快速逆向分析
-
发表于: 2025-12-8 12:18
-
对某 app逆向分析时,协议中携带一个设备相关的token,跟踪后发现这个token是极验sdk提供的token。
通过getData函数返回的数据,上报后台,后台返回数据中提供了token数据。
token是由后台返回,所以无法分析它是一个什么数据,可能是一串设备环境数据,或者只是一个设备id数据。但是这都不重要,重要的是它上报给后台什么数据。
native层逆向
native层是 libgtcore.so,拖进IDA中反编译,没有发现getData函数。hook registerNatives后打印绑定的native层函数偏移:
找到了,位于模块偏移 0x553c4 和 0x55438。代码中主要调用的是第二个,我们主要分析 0x55438处的函数。
我将这个函数重命名成了 getDataWithConfig,这个函数比较简短,可以明显看出 v6就是最最终返回的字符串。这个字符串由函数 0x5281c返回。
反编译片段:
很明显这是一个平坦化混淆后的函数,v3变量在衔接原始的分支。我们不用关心原始的函数分支结构是怎样的,只用看最终的解密值是怎么生成的。
找到函数的返回语句:
这个函数最终返回了v20,往上找,v20在什么地方出现,点击时会高亮显示。
上述两个地方对v20进行了赋值,上面一个赋值了空指针,想必v1才是需要分析的值。当v3 = 5668920时,才会走到这里,我们点击5668920,看看哪里会高亮显示:
有两处:
第一处:
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
最后于 5天前
被CCTV果冻爽编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
