今天給大家分享一下如何逆向分析Native層的加密，整個過程的思路值得大家借鑑，接下來小編給大家上才藝

所需要的裝置和環境裝置：

安卓手機(獲取root許可權)

抓包：

fiddler + xposed + JustTrustMe

反編譯：

jadx-gui，ida

抓包

這裡我們就不用知道這個app的名稱，開啟fiddler 抓包後 app 提示連線不到網路，判斷是證書驗證，開啟 xposed 框架，再次請求，成功抓到包，連續請求兩次來對比引數變化：

可以看到 x-app-token 這個引數不一樣，其他引數都是固定的，先簡單看一下x-app-token的構成：

這樣做了一下換行，有沒有發現什麼規律？

我一眼就看出來第二行是手機的 deviceID，因為爬蟲寫多了，這個字串經常出現，第一行是 32 位，應該就是個md5， 第三行是個 16 進位制數，知道了這些，接下來就來反編譯，搜尋這個關鍵字。

反編譯

反編譯之前先使用ApkScan-PKID 查一下是否有殼，養成好習慣，這個 app 沒有加殼，直接用 jadx 開啟，全域性搜尋 “x-app-token”，只有一處，應該就在這裡了：

它把函式過程寫到native 層中去了，那隻好去分析這個名為native-lib 的so 檔案了，解壓目標 apk 獲取到了如下圖這些檔案：

so檔案就在這個lib資料夾裡：

ida中開啟這個檔案，切換到Export匯出函式選項卡，先來直接搜尋getAS：

沒有搜到getAS，倒是搜到了getAuthString，名字很像，開啟看看吧，按 F5可以把彙編程式碼轉換為偽c 程式碼，下拉分析一波，看到了 md5關鍵字：

程式碼有點難懂，連懵帶猜v61應該是 MD5加密後的結果，然後 append 似乎是在拼接字串，看到了“0x”，根據抓包的結果已經知道x_app_token 的第三行是個 16 進位制數，那應該是這裡的v86了，向上看看它具體是什麼：

v86存的是 v40的值，而 v40 就是當前的時間戳，那 x-app-token 第三行應該就是時間戳的 16 進位制數。接下來看看md5的入參為v58,v52,v53，重點來看v52，往上追朔看到其和v51 是相等的，而v51 是一個未知字串經過 base64編碼得到的，先來hook這兩個函式，寫段指令碼：

第1處和2處分別是目標函式的地址，滑鼠點到目標函式處，ida左下角會顯示，加1是為何，只記得大學時候學過組合語言講到段地址，偏移地址，實體地址這些，猜測和這些知識有關，還需研究，這裡先這樣用，第3處的寫法是當這個引數為字串時的寫法，執行一波，看看列印輸出：

同時也來抓包：

把v52的值放到線上MD5網站中加密看看：

和抓包得到的結果是一樣的，那就證明hook點找對了，那麼v49就是base64編碼之前的值，v49是什麼呢，仔細一看，裡面也有deviceID，再來分割一下:

第一行通過兩次hook，發現他是固定不變的，第二行是改變的，32位，看起來又是個md5，第六行是包名，返回偽c程式碼，再來分析看看，在前面又看到了MD5加密的地方：

那來hook這個函式，看看入參：

列印的入引數據為：

S是一個時間戳，拿到MD5加密網站上驗證一下，正好和v49中包含的字串相同：

至此，逆向就完成了，來總結一下x-app-token的獲取過程，先是帶有把時間戳進行md5，按下圖順序拼接：

然後把拼好的字串進行base64編碼，最後把編碼結果進行MD5，得到x-app-token的開頭部分，組成如下：

接下來寫個指令碼來請求資料

請求

程式碼如下：

執行，成功拿到資料：

總結一下

今天主要介紹了native 層hook 的方法，雖然 so 檔案中的偽c程式碼要有一定的基礎才能看懂，但是先不要怕，分析的過程中可以先大膽假設，有frida非常強大的hook 功能，就能一步步驗證之前的假設。這兩次都是靜態分析方法，下次我們再來介紹一下動態除錯的方法。

以上就是小編今天帶來的內容，小編本身就是一名python開發工程師，我自己花了三天時間整理了一套python學習教程，從最基礎的python指令碼到web開發，爬蟲，資料分析，資料視覺化，機器學習，等，這些資料有想要的小夥伴可關注小編，並在後臺私信小編：“ 01 ” 即可領取