免責聲明
本文章中所有内容僅供學習交流使用,嚴禁用于商業用途和非法用途。若有侵權,請聯系我,立即删除!
APP :Y29tLmdyZWVubGluZS5ndWFoYW8=
app版本暫不公布。打開app就可以看到檢測root,通過度娘和csdn各種方式也未能有合适方法。偶然之間放到一篇關于U2hhbWlrbw==文章,隐藏magsik的特征,最終繞過root檢測。下一步抓包
使用postern+charles的vpn抓包,出現SSL-Pinning的問題,通俗點講,就是将伺服器證書打包到客服端裡去,然後通過https建立起校驗。我一般使用Lsxposed+JustTrustMe工具繞過.大牛一般采用dump證書到charles進行校驗。
繞過sslpinning檢測後,可以抓到醫生的首頁資料,headers中sign是加密的。接下來就要java層或者so層尋找其加密函數位置
GDA和查殼工具均識别為愛加密免費版,通過frida-dexdump進行脫殼是失敗的。後來通過閱讀某篇文章【具體方式請背景聯系我】,繞過frida的檢測完成脫殼,如上圖
通過jadx分析脫殼後的dex檔案,全局檢索sign,具體定位到上圖的sign的加密位置,可發現發到【Z3VhaGFvLWpuaS5zbw==】這個so檔案中。
IDA分析可以進入so層,定位到j_encrypt函數,并且拿到加密的RSA的公鑰,最後利用frida的java層的加密函數,可以推測RSA+md5算法,具體過程就不能相信描述,請自行了解
有興趣關注公衆号【爬蟲小詹】