美文网首页
Android-Xamarin 初级破解

Android-Xamarin 初级破解

作者: 老江_ | 来源:发表于2018-04-08 17:13 被阅读236592次

0x0 零

做APK分析的时候难免会遇到一些非原生的开发模式,比如H5、Mono等等,要破解这些开发模式的APK原理其实和破解加了壳的APK一样,无非就是找到它的核心代码(或者前者比后者要简单的多)。这次遇到了一个Xamarin开发的APK,初步了解了一下这个Xamarin,不外乎就是基于 Mono 的一个 APP 开发框架,里面包装了很多Android Framework的API给你用。

0x1 壹

把APK装到手机上跑了跑,了解大致功能。按部就班的把APK脱到反编译工具里。震惊!!

dex反编译

几乎所有的类都如上图所示,有static代码块 + 字符串格式的代码 + Native方法 。 找了一圈发现没啥有用的代码,不过感觉告诉我,要么加壳了,要么是我没遇见过的情况。

0x2 贰

确定了一点,DEX文件里的东西是没什么用的,那么SO文件里呢?无论是加壳还是别的,都会有相应的SO去处理,所以说看一下lib目录下有什么熟悉的文件,能帮组我进一步了解这个APK。

lib目录

lib目录下没有啥libdexhelper.so这些看着就很碍眼的文件,不过有两比较有意思的文件,libmonodroid.so和libmonosgen.so,这两个文件就是Xamarin的引擎文件了。

知道了APK是Xamarin框架之后,就去assemblies目录下找它的核心代码,发现这里很多DLL文件,它们都是由C#源码文件编译而成。反编译这些文件的工具很多,比如ILSpy、.NET Reflector以及dotpeek等(个人比较推荐ILSpy)。

DLL文件

接下来就是去分析反编译代码,可以看到C#的反编译程度已经几乎和源码相同了,很容易分析。寻找你想要修改了的地方(修改IL代码只需要给你的反编译工具加一个插件就好-Reflexil),很多小游戏破解,改改金币、血量什么的都很容易。我这里为了更方便的研究下它通信协议方面的东西,需要让流量走过我的代理服务器,所以说我需要修改它的证书校验的代码。

修改IL

找到校验的地方,然后将返回的false改成true即可,通过reflexil把ldc.i4.0改成ldc.i4.1。接下来就是保存,替换源文件,打包,签名。

0x3 叁

在打包的时候要注意几个方面的问题

第一个问题是打包方式,一般重打包我习惯性的会选择apktool b去重打包,但是这里因为某些bug导致apktool打包不了,后面想了想其他方式,反正只替换DLL文件,而且这个资源又不用aapt去编译,所以我可以选择解压APK文件,然后替换DLL文件,最后在压缩回来就ok了,其实所有添加或删除不需要编译的文件都可以用这种方式,比如assets目录下的资源、编译好的DEX、编译好的SO;

第二个问题是文件压缩问题,当我替换了DLL之后,压缩文件夹时,需要选择某些资源不进行压缩,否者后期运行会报错,针对这个APK,assemblies目录下的所有文件都要选择不压缩;

第三个问题是APK的字节对齐问题,这个问题主要会出现在google store上的应用打包时,我需要通过zipalign工具裁剪一下压缩好了的APK

Android SDK中包含一个"zipalign"的工具,它能够对打包的应用程序进行优化。在你的应用程序上运行zipalign,使得在运行时Android与应用程序间的交互更加有效率。因此,这种方式能够让应用程序和整个系统运行得更快。

这个工具在sdk目录下有,命令是

Android/sdk/build-tools/25.0.0/zipalign -v -p 4 in.apk out.apk

第四个问题是签名,接下来就用sdk里的apksigner工具签名就行了,这里需要一个签名文件,可以在Android Studio里面生成一个,签名命令是:

Android/sdk/build-tools/25.0.0/apksigner sign --ks releasekeystore.jks --out out.apk in.apk

0x04 肆

最后安装到手机,设置系统代理,发现其流量任然没有走到我的代理服务器。为什么呢?明明证书校验是改了的呀。。

猜想那么几种可能,第一种可能是它协议不是http/https,不过分析C#代码,发现里面很多url都是https协议的,break。第二种可能是它流量不走系统代理,通过观察我代理服务器上的流量,确实是没有抓到该APP的流量,但是这个APP能正常运行,continue。

那么为啥不走系统代理呢?第一种可能是它把代理设置成了NO_PROXY,这样就强制让代理失效了。

NO_PROXY

回头去跟C#代码,发现它用的HTTP库是flurl,发现它并没有设置flurl的proxy属性,这样一来,讲道理,它就不会不走代理。继续分析,flurl是由C#实现,作用于.NET程序,所以猜想这个库在设计之初应该不会考虑到Android手机上有系统代理的情况(我也没去深挖Xamarin对代理的处理),所以更不会去主动获取Android上的系统代理。而在Android平台上获取系统代理地址一般是通过这种方式(图中hostKey为“http.proxyHost”,portKey为“http.proxyPort”):

Android6.0获取系统代理地址

那么怎么才能让flurl的proxy去自动配置成Android的系统代理呢?可以通过修改flurl的代码,编译后去替换APK里的flurl.dll文件。当时想到这个办法的时候,我就已经放弃了。几经波折,最后还是用ProxyDroid这个Android上的工具强制让http流量走到了我的代理服务器上。

0x05 伍

回头再看一次,要实现上面那个功能,还有很多方法,比如说HOOK。Mono是一个JIT运行模式,那么我们可以Hook Mono加载DLL文件的地方,去替换特定的DLL(DLL改动比较大时采用),或者通过文件偏移去patch DLL中某个字节(DLL改动小时采用)。

Mono是一个开源的工程,网上也有很多对它的分析。我这里简单的再总结一下一个DLL加载过程中涉及到的一些函数

1.mono_assembly_open 打开DLL文件

2.mono_assembly_load_from_full 将DLL文件加载进内存

mono_assembly_open&&mono_assembly_load_from_full

3.mono_compile_method 编译某个函数

mono_compile_method

4.mono_runtime_invoke 执行函数

mono_runtime_invoke

相关文章

  • Android-Xamarin 初级破解

    0x0 零 做APK分析的时候难免会遇到一些非原生的开发模式,比如H5、Mono等等,要破解这些开发模式的APK原...

  • android 逆向资源

    Android HOOK 技术之Frida的初级使用 · 浮萍's Blog [下载]JEB-2.2.7破解版 f...

  • 珍惜机会

    焦点解决网络初级第14期 信阳坚持分享第335天 今天读了张文质老师的文章《恐惧写作的原因及破解途径》。 ...

  • 第六讲 Mac上点赞最多的神器Alfred 第一节破解安装篇

    Mac上没有装Alfred的人,一定是Mac小白用户Mac上装了Alfred却没有破解的人,一定是Mac初级选手M...

  • android 逆向 初级系列(二)

    1. 引言 最近利用空闲时间学习了下smali语法,当然是为逆向破解服务的。本文是Android apk的初级逆向...

  • NSTimer循环引用-破解五法

    NSTimer循环引用-破解五法 破解一 破解二 更换target 破解三 更换target ->NSProxy ...

  • 破除NSTimer循环引用的五种方法

    NSTimer循环引用-破解五法 破解一 破解二 更换target 破解三 更换target ->NSProxy ...

  • Xmind 破解和使用

    破解 破解连接

  • unity破解

    破解和不破解的差别破解之后页面是黑色的: 不破解是灰色的,我破解过了 所以就不截图了 破解之后还有一个用途是在打...

  • 谦逊

    记得第一次玩电脑里的扫雷游戏时,初级的10颗雷用了八十几秒,还和朋友炫耀说扫雷游戏很简单,只要八十几秒就破解了。朋...

网友评论

      本文标题:Android-Xamarin 初级破解

      本文链接:https://www.haomeiwen.com/subject/mrephftx.html