最近在看雪Android區(qū)看到九月份的一篇優(yōu)秀貼， 文章從過反調(diào)試和IDA動靜態(tài)調(diào)試角度解題，甚至還得解析得到RC4密鑰，講得非常細(xì)致，雖然我也是新手，但是這么去逆向，讓人覺得太難懂了。

明明有強(qiáng)大的frida工具，可以無需過反調(diào)試，無需IDA去動靜態(tài)調(diào)試，無需獲取RC4密鑰，直接用主動調(diào)用獲取flag，何必走繁瑣的路呢？

首先直接JADX打開APK，沒有加殼，直接可以看到核心代碼如下，用戶輸入直接通過JNI函數(shù)greywolf對輸入字符串做檢測。

利用IDA打開libwolf.so，沒有找到greywolf函數(shù)，所以該函數(shù)肯定是通過registerNatives注冊的，于是直接用frida拿到greywolf偏移，為0X14075。

然后IDA快捷鍵按G，輸入0X14075，直接跳轉(zhuǎn)到greywolf函數(shù)（函數(shù)名稱換成了bc）處，再F5查看偽代碼，如下。該函數(shù)只有l(wèi)ine15和line17兩處return，先分析第二處return。

跟蹤wolf_de函數(shù)，看到明顯的RC4解密算法，且密鑰就是unk_4E13A，所以直接調(diào)用wolf_de，傳入待解密字符串，其返回值就是解密結(jié)果，我們直接利用frida去主動調(diào)用wolf_de，去解密bc函數(shù)中l(wèi)ine16行“5B694AADB2DC559E44B84637A2D61F”得到“Password Error~”，效果如下。

所以要想驗證成功，必然走到line15行的j_jk函數(shù)，繼續(xù)跟蹤此函數(shù)，同樣手法在jk函數(shù)中l(wèi)ine15可以解析得到正確顯示，所以跟蹤dc函數(shù)。

跟蹤上圖dc函數(shù)，一切皆從return往上跟蹤，最后在ds函數(shù)中看到如下代碼，該代碼將輸入字符與line24解密字符串比較，相等則為真。

所以直接主動調(diào)用，直接看到flag為“hello5.1”，上機(jī)驗證正確。

責(zé)任編輯：YYX