温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Xposed数据采集实例分析

发布时间:2022-03-21 16:26:45 来源:亿速云 阅读:312 作者:iii 栏目:大数据

这篇文章主要介绍了Xposed数据采集实例分析的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇Xposed数据采集实例分析文章都会有所收获,下面我们一起来看看吧。

数据采集教程,一例APK脱壳反编译寻找AES密钥过程记录

应客户需求对一款名为“**主治医师总题库”包名为com.zitibaohe.zhuzhiyishierke)的APP进行采集可行性分析。<br>  这款APP和服务器的通信使用的是HTTP协议,很容易抓到数据包,可惜返回的数据是加密的,如下图所示。<br>Xposed数据采集实例分析

根据以往经验,内容应该是被AES加密了。要想还原出明文,必须要反编译拿到KEY才行。

下载APK文件,用JADX对其进行反编译,发现被加壳了,使用的是360的加壳工具,如下图所示。

Xposed数据采集实例分析

必须先脱壳才能反编译到真实的APK源码。脱壳我们使用Xposed + FDex2插件(PS:如果你对Xposed还不熟悉,建议先阅读Xposed相关文章)。<br>  安装好FDex2插件(不要忘了重启系统),启动插件,点选要脱壳的APP,如下图所示。

Xposed数据采集实例分析

然后启动目标APP(儿科主治医师总题库)。使用Root Explorer浏览到APP的数据目录(/data/data/com.zitibaohe.zhuzhiyishierke/)下,如果看到多个dex文件(原本该目录下没有这些文件,如下图所示),说明脱壳成功了。

Xposed数据采集实例分析

 将这几个dex文件pull下来,然后依次用JADX对其进行反编译。由于有多个dex,怎么快速定位我们关注的代码在哪一个里呢?我们可以搜一些特征字符串,比如前面抓包看到的请求URL中的个“questions”,如果找到了,说明八成就是这个dex文件(如下图所示)。<br>Xposed数据采集实例分析<br>  然后我们再搜索AES相关的关键词比如“AES/”,"SecretKeySpec"或“IvParameterSpec”,最终成功定位(如下图所示),其使用了"AES/CBC/NoPadding"加密算法,对应的KEY和IV都是明文的。<br>Xposed数据采集实例分析

我们来验证下KEY和IV是否正确。借助“AES Online”(http://aes.online-domain-tools.com/)这个在线工具,选择对应的加密算法,输入密文、KEY、IV(如下图所示)。<br>Xposed数据采集实例分析

然后点击"Decrypt",成功还原出明文(如下图所示)。点击“[Download as a binary file]”下载解密后的数据文件,发现内容是JSON格式的,解析之后如下图所示。<br>Xposed数据采集实例分析

至此,目标实现。<br>  除了上述通过反编译源码来获取秘钥外(过程很繁琐),我们还可以利用Xposed的方式(你需要先了解Xposed相关知识),通过HOOK javax.crypto.spec.SecretKeySpec和javax.crypto.spec.IvParameterSpec类来截获KEY和IV,操作过程简单,下面介绍两个相关插件。<br>1.使用Inspeckage(https://github.com/ac-pm/Inspeckage)这个Android动态分析工具。如下图所示是Inspeckage截获到的AES的KEY,与我们上面通过源码获取到的一致(不过没有获取的IV,原因未知)。Xposed数据采集实例分析

2.我还测了一个叫做CryptoFucker的Xposed插件(https://github.com/Chenyuxin/CryptoFucker),用起来虽然没有Inspeckage方便(没有UI),不过,效果很好,成功获取到了KEY和IV,如下图所示(HEX形式显示)。<br>Xposed数据采集实例分析

关于“Xposed数据采集实例分析”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“Xposed数据采集实例分析”知识都有一定的了解,大家如果还想学习更多知识,欢迎关注亿速云行业资讯频道。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI