一份礼物.apk-O泡果奶的逆向分析
事情起因是震惊全国大学生的1013事件!!!
文章插图
刚好看到社团群里在讨论这个 , 于是就发挥专业特长分析一下
文章插图
拿到apk ,第一步肯定先放到虚拟机里跑一下看下效果
emmm这似曾相识的页面,这熟悉的音量,唯一变化的就是音乐变成了O泡果奶的魔性洗脑广告 。
懂了,这不就是 "送给最好的ta.apk" 吗?
文章插图
使用Android killer或apk改之理分析一下,这里使用Android Killer:
文章插图
文章插图
通过对比送给最好的ta.apk发现:
多了一个layout.lua文件 , 不过从名字上看这就是个布局文件 , 影响不大 , 再就是mp3文件名字从原来的0.mp3改为了mc.mp3 , 其他的都没变 , 甚至软件图标都没变 。 这个mc.mp3就是播放的广告音频了 。
文章插图
剩下的就简单了,虽然lua文件是加密过的,通过分析java代码,发现加密方式也没变,依旧使用/lib/armeabli-v7a/libluajava.so加密,因此使用ida7.0(x32)对这个文件逆向分析:
文章插图
查找到在luaL.loadbufferx里面有对文件解密的过程
这里直接拿pcat大佬写的解密脚本:
【一份礼物.apk-O泡果奶的逆向分析】from ctypes import *import sysdef decrypt(filename):s = open(filename, 'rb').read()outfile = 'out.lua'if s[0] == chr(0x1b) and s[1] != chr(0x4c):rst = chr(0x1b)size = len(s)v10 = 0for i in range(1, size):v10 += sizev = (c_ulonglong(-2139062143 * v10).value >> 32) + v10v1 = c_uint(v).value >> 7v2 = c_int(v).value < 0rst += chr(ord(s[i]) ^ (v10 + v1 + v2)--tt-darkmode-color: #888888;">文章来源:齐鲁师院网络安全社团
推荐阅读
- 苹果总部大楼,斥巨资打造的精品建筑,有你的一份资助吗?
- 微信推出“微信豆”,可用于购买直播中的虚拟礼物,你会充值吗?
- 圣诞节礼物知多少?讯飞智能学习机X2 Pro请查收
- 小米“圣诞礼物”提前送达!数亿米粉没有想到,雷军良心了
- 让生活多一份热爱 亿田S8E蒸烤独立集成灶
- 雷军51岁生日,华为鸿蒙系统是生日礼物?网友:小米手机也能装
- 新能源汽车产业不容投机行为
- 多一份关爱,傲雷i1R 2粉色钥匙扣小手电
- 雷柏 ralemo Air1 气垫鼠标图赏 给自己的礼物
- 全面到哭!BAT内部Java求职面试宝典,应届生必须人手一份