• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

cocos2d-LUA逆向之解密app资源

原作者: [db:作者] 来自: [db:来源] 收藏 邀请
  还是以大神apk为例,通过前面分析app解密lua脚本,我们能够解密大神apk的lua脚本,现在我们来解密其资源(配置文件和图片等)。我们以比较重要的配置文件为例,未解密之前:
        文件头部也有签名值:fuckyou!。看到这,我们首先就想到是不是也是用xxtea加密的,我们用上面的方法,先xxtea解密,再解压,发现依旧是乱码,在操作的过程中就出现了错误,显然,要否定我们刚才的猜想。我们继续按部就班的解密配置文件。

        稍微思考一下,文件头部是:fuckyou!如果想对文件进行解密,那么不可避免的需要处理字符串:fuckyou!,所以,我们应该能在idaPro中搜到fuckyou字符串,然后以fuckyou字符串所在代码段处的函数分析调试解密即可。验证一下我们的猜想,打开idaPro,打开string视图,搜索fuckyou:

        居然啥也没有!猜测应该是做过优化,在某个地方把字符串优化掉了。

        线索断了,但是好奇心还是让我们继续,这时候,我们可以浏览cocos2d框架源码,结合网上一些资料,发现cocos2d对文件的处理封装到了CCFileUtils类中:

        函数有些多,不一一贴了,从网上也找到了前辈的经验:

        好了,我们现在回到idaPro,在export窗口,搜索getData:

        进这两个函数,反编译看下,长得不大像,略过,但是先记下,在动态调式时,我们可以在此下个断。

        我们再来看getFileData:

        由于app运行在Android平台上,我们看Android平台的CCFileUtilsAndroid::getFileData:

        我们接着跟踪:

        代码很长,就不全贴了,贴此函数关键的部分:

       看到上图,感觉就是它了,呵呵!但是我们还是需要继续分析验证。函数处理文件头部sign时,并不是直接与字符比较而是与其ASCII值一个一个比较,所以我们在字符串窗口是搜不到fuckyou!的。接着往下看,当函数判断完是符合加密格式的文本时,会移除前8个字节(fuckyou!),然后与异或表中的值进行异或操作,每256个字节循环操作。

        我们可以看下byte_A1C55F:

        至此,我们已基本可以确定文件解密函数及过程了,我们可以动态调试,再确认一下,当app调用完这个函数后,内存中应该是明文内容了。当我们调试时,分别在getData、CCFileUtilsAndroid:doGetFileData函数开始和结束时下断,GetData函数下断:

        doGetFileData函数下断:

        虽然两个函数都下断了,但是只在doGetFileData断点出暂停,说明解密过程中是走的doGetFileData函数,符合我们的预期,看下寄存器及内存:

        我们看到内容在doGetFileData之前是密文,函数返回之前已经解密成明文了,这说明我们之前的分析是对的。

        好了,现在,我们可以将异或表byte_A1C55F拷贝出来,然后模仿app的解密过程(可从GitHub上找个xor解码脚本,稍作修改即可)写一个小工具,对大神.apk的所有资源进行解密了:

原文链接:http://www.freebuf.com/column/173234.html


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
lua的table排序发布时间:2022-07-22
下一篇:
视觉运控平台软件框架(5)---脚本lua,luaWrapper发布时间:2022-07-22
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap