首先展示一下apk中的内容,一个简单的贪吃蛇游戏
静态分析
蛇撞墙会有提示,直接去看
定位到com.example.ct_sanke.SnakeView.i()
i()方法只有一处调用,随着蛇吃食物进行逻辑处理
考虑到游戏需要绘制,看到Snake类下还有一个onDraw()方法,查看该方法
发现一处逻辑判断,当e为false并且c不为1时,就回执行a()方法,看一下细节
发现这个方法又调用了一个a()方法,这个方法带两个参数,返回值给到了y,进入一下这个方法
发现其实是去请求了资源id,这个id可以在b.a.a.b类中找到
看一下Snake类中y属性的初值,发现和资源中a5的值一致
这几个资源是在资源目录下的图片
实际上就是找这些图片当做食物,不停变换
接下来回到判断点,当c等于1时,就会去执行b()方法
这时b()方法和a()方法几乎只有最后传入参数有区别,用到了f[v],前方资源抬头是b,那么可以看一下都是啥,先看b资源吧
很明显,b资源给到的是文字,也就是说说flag应该要走b()方法才对,接下来看f和v属性
可以看到f属性是通过b.a.a.a.a()方法解密了一串文本并解析成整数,那么f属性中保存的应该就是b资源的索引,接下来看v属性
发现在i()方法中,满足某些条件时,c和v都会被处理,将c置为1时,就会触发b()方法,也就是说此时的食物就是b资源中的某一个字,然后v自增1,。显然,当第一次触发b()方法时,v的值是1,也就是说,实际上展示的内容就是f属性从第1个元素开始的索引对应的资源,接下来对f进行分析
幸运的是, 如果你使用的反编译工具是JEB,那么JEB会帮你自动处理b.a.a.a.a()这个解密方法,这时f的值就是16,9,3,3,12,8,0,1,11,8,6,0,11,0,13,8,1,15,3,14,12,12,12,从第1个元素开始,对应的资源显示也就是K33PG01NGD0N0TG1V3UPPP,答案也就是这一串
当然我们也可以利用hook的方式,去hookb.a.a.a.a()方法,打印其返回值,方法比较容易hook,直接用GDA自动生成的hook代码即可
setImmediate(function() {
Java.perform(function() {
var targetClass='b.a.a.a';
var methodName='a';
var gclass = Java.use(targetClass);
gclass[methodName].overload('java.lang.String').implementation = function(arg0) {
console.log('\nGDA[Hook a(java.lang.String)]'+'\n\targ0 = '+arg0);
var i=this[methodName](arg0);
console.log('\treturn '+i);
return i;
}
})
})
拿到的结果也是一样的
当然我们也可以进行动态调试去验证,常规情况下,c属性的值很难被置为1
动态调试
这个apk是不允许调试的,我们可以利用apktool进行解包,修改AndroidManifest.xml,为application标记添加android:debuggable="true"使其允许调试,再重新打包
使用修改后的apk进行安装,利用JEB进行调试
附加成功后,找到onDraw()方法中的判断语句,Ctrl+B下断点
长按屏幕重新游戏后,点击开始,就能抵达断点位置
这时查看局部变量,能看到b、c、f的值,此时的f和之前分析的值也是一样的
重新回去查看v和c赋值的条件,发现在jadx中的反编译是有问题的,不过JEB和GDA没有问题
在满足b大于55,c不等于2的情况下,c和v的值会改变,而需要调用b()方法的条件是c等于1,那么就可以将b的值修改为56,c的值修改为1,同时需要注意,在c被赋值为1后,v会自增一次,所以修改的时候,v也需要加上1,v的初值是0,改为1即可
这时候取消断点,再运行
这时食物就会变成资源b的内容,吃到的食物会跟在屁股后面,并且随着吃到的食物的增多,也不会进行加速
资源b全部吃完后,又会重新回到资源a
可以看到经过动态调试之后,得到的内容和静态分析的结果也是一致的
总结
其实出结果很快,不过一开始忽略了v的自增,提交的时候多了第0位,很可惜,不过这个apk非常好玩。
最后,做apk逆向一定要多个反编译工具一起使用,以防某些逻辑解析错误!!
标签:调试,apk,详解,Snake,属性,方法,资源,rwctf From: https://www.cnblogs.com/WXjzc/p/17036724.html