今天继续练习简单的crackme。
先看一下界面,还是输入注册码,点击检测后弹Toast提示成功、失败。
反编译APK
几种方式
1、直接用apktool反编译,得到smali代码
2、直接解压apk,得到的dex文件用BytecodeViewer打开(翻译成java源码)
3、d2j-dex2jar工具打成jar包,然后用jd-jui打开读java源码
定位代码:
先搜注册码相关的字符,找到onClick().
this.btnCheckSN.setOnClickListener(new View.OnClickListener()
{
public void onClick(View paramAnonymousView)
{
if (new MainActivity.SNChecker(MainActivity.this, MainActivity.this.edtSN.getText().toString()).isRegistered()) {}
for (String str = "注册码正确";; str = "注册码错误")
{
Toast.makeText(MainActivity.this, str, 0).show();
return;
}
}
});
可以看到这里判断了个isRegistered(),然后下面的发编译代码有点问题。不过没关系,先看一眼isRegistered()函数:
public boolean isRegistered()
{
int i = 0;
if ((this.sn == null) || (this.sn.length() < 8)) {
return false;
}
int j = this.sn.length();
if (j == 8) {
switch (this.sn.charAt(0))
{
default:
bool = false;
if (bool) {
switch (this.sn.charAt(3))
{
default:
bool = false;
}
}
break;
}
}
do
{
for (;;)
{
return bool;
bool = true;
break;
bool = true;
}
bool = false;
} while (j != 16);
int k = 0;
label145:
if (k >= j) {
if (i % 6 != 0) {
break label181;
}
}
label181:
for (boolean bool = true;; bool = false)
{
break;
i += this.sn.charAt(k);
k++;
break label145;
}
}
按照以往的经验,直接一劳永逸将isRegistered()返回true就行了。修改smali时,我们直接在函数开始的地方插入代码,让它返回true。
const/4 v0, 0x1
return v0
然后我们看下上面提到的有错误的地方,就是这段:
if (new MainActivity.SNChecker(MainActivity.this, MainActivity.this.edtSN.getText().toString()).isRegistered()) {}
for (String str = "注册码正确";; str = "注册码错误")
{
Toast.makeText(MainActivity.this, str, 0).show();
return;
}
到smali中查看,通过分析得知其实是反编译成java代码的时候产生的问题。
.line 45
.local v0, "checker":Lcom/droider/crackme0502/MainActivity$SNChecker;
invoke-virtual {v0}, Lcom/droider/crackme0502/MainActivity$SNChecker;->isRegistered()Z
move-result v2 #isRegistered()的结果
if-eqz v2, :cond_0 #如果为false,就到cond_0
const-string v1, "\u6ce8\u518c\u7801\u6b63\u786e" #unicode转码 -> 注册码正确
.line 46
.local v1, "str":Ljava/lang/String;
:goto_0 #开始循环
iget-object v2, p0, Lcom/droider/crackme0502/MainActivity$2;->this$0:Lcom/droider/crackme0502/MainActivity;
const/4 v3, 0x0
#调用toast方法,v2相当于MainActivity.this,v1是str,v3=0
invoke-static {v2, v1, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v2
invoke-virtual {v2}, Landroid/widget/Toast;->show()V
.line 47
return-void
.line 45
.end local v1 # "str":Ljava/lang/String;
:cond_0 #isRegistered()的结果位false跳到这里
const-string v1, "\u6ce8\u518c\u7801\u9519\u8bef" #unicode转码 -> 注册码错误
goto :goto_0
.end method
好了,打包apk试验,却发现应用闪退。。。看一眼logcat,发现了程序被修改的log提示。所以应该是某些地方做了某种验证,不符合后就kill掉应用。这里有两种方法,一种是搜索提示“程序被修改”字符,不过一般的是不会给你任何提示的;另一种是搜索finish()方法或者android.os.killprocess()方法。我们来搜索一下,果然在MyApp中发现了两处:
结合jd-jui代码
很明显的用了Java反射机制,手动调用了isRegistered()方法,参数是字符串1111。如果1111通过了验证或者调用isRegistered()失败,则用killProcess干掉本应用进程。知道了原理,也就好解决了,直接将两处killProcess()的调用nop掉就可以了。
重新打包验证,随便输入字符都能验证通过了。
crackme0502 APK连接:
链接: https://pan.baidu.com/s/1kVeNCoB 密码: b5km
网友评论