上个月费了老大劲把抖音IOS平台通信协议中加密参数as/mas给破了,然后老板把今日头条的Android破解任务扔给我,真想一口血喷他脸上有没有。老子完全没搞过android逆向,怎么玩啊!抱怨归抱怨,工作还是要做啊。网上查了一堆零零碎碎的资料,竟然没有几份像样的成系统的方案。《Android软件安全与逆向分析》这本书勉强能够指导入门,但也只是入门而已,无法深入。口水吐了差不多了,接下来说正事。
方案背景
逆向尤其是算法逆向大部分时候针对的C/C++,相比上层的OC/JAVA代码,C/C++代码的逆向难度要高出不止一个数量级。对C/C++代码的逆向能力也是逆向水平的第一个分水坽,如这篇文章里提到的动态调度一个SO文件竟然有9道防破解措施需要跨越。那么使大部分逆向人员能够跨越C/C++代码这道坽是该方案的第一目标(有点大,鄙视我吧)。
在上月逆向抖音期间,一个做iOS手机模拟器的兄弟团队(没错,是iOS模拟器,他们花费两年时间搞出来的一套可以运行在window平台的iOS模拟器)向我们提出了使用他们的模拟器将应用暂停在某个合适的代码段后,主动调取应用加密算法生成加密结果的黑盒方案。后来因为时间与档期的原因,这一方案至今仍处于暂停状态。而我的方案就是该方案的改良版本。
实现框架
简单来说就一句话:对目标应用植入定制化插件,插件接收用户传送来的指令与数据,根据指令调用应用自身已经存在的加密算法对数据进行处理,再通过插件将计算的结果返回给用户。
如此就能够完美的规避C/C++层的算法逆向问题。而逆向人员需要做的只是定位加密算法的OC/JAVA层入口,确定其输入格式、插件接收的指令数据格式等简单工作。
android实现
android平台的插件实现框架选择了Xposed,其具体使用这里就不在介绍了。通过Xposed可以构建一个针对多个不同app的后台插件应用。插件会在手机端搭建小型的HTTP服务器(NanoHTTPD实现)用于接收用户的加密请求,主动调用应用内的加密函数生成加密结果,并将结果回传给用户。
该套方案已经成功应用在今日头条通信协议的as/mas加密参数的生成上。在对该方案的压力测试中(30个线程,每个线程1000次请求),一台比较低端的ZTE机器在10秒内完成,其表现完全出乎意料之外。
iOS实现
为了在iOS平台同Android平台类似的HttpServer功能,可将插件做成daemon应用运行于后台,并设置其开机启动,HttpServer同样是该应用的一部分。daemon应用与目标应用间通信使用CFMessagePort技术实现。如此便可以实现上面一整套通信流程。这些只是大致设想,实现起来还会碰到具体的问题有待于解决。
后续问题
该方案依然有很多的问题需要完善,但都不防碍达成其最重要的目标。后续需要实现的功能有插件的多应用支持、HttpServer在手机端的长时间稳定运行等。
最后,Androd版本的抖音、今日头条的各加密参数生成已经可以通过该方案实现,对这个方案有兴趣的朋友可以私信我协助布置这样一套方案,前提是你有一定的逆向能力。
