前言
玩农药的时候,想着能有透视的辅助就好了,在网上找到了一个辅助应用,破解开发现是基于AndroLua的脚本应用。在逆向的同时,发现了现在火的很多应用,例如O泡果奶等,都使用了同样的加密方法。
AndroLua还是AndroLua_Pro应用的逆向,其实大同小异,框架不是逆向的重点,基本不会有人去改。主要是lua脚本的逆向,从luac到lua,可以直接用unluac.jar直接逆向。但是,加密程序会对脚本中的所有字符串进行加密混淆,比如字符串、函数名、类名。比如我遇到的这种,加密过程为,lua->luac->混淆加密->zlib压缩->base64编码。
原型
zlib压缩的特征是inflate等相关方法的应用,base64编码的特征就是编码的解码表。这里主要关注的就是字符串加密混淆的方法,也是常见的异或加密,这种加密方法加密解密的过程是一样的。
复原
字符串混淆加密算法复原
public static byte[] decrypt(byte[] source) {
byte[] result = new byte[source.length];
if (source.length > 0) {
int t = source.length;
result[0] = (byte) (source[0] ^ t);
int temp = source.length + Byte.toUnsignedInt(result[0]);
for (int i = 1; i < source.length; i++) {
t += temp;
result[i] = (byte) (source[i] ^ (t % 255));
}
}
return result;
}
找到了unluac.jar的源码,在进行字符串解码的时候,进行解密操作,就可以复原出真实的lua脚本。但是在实际使用的时候,对中文的复原不太友好,猜测可能与UTF-8编码有关,我在Python和Java上分别对用串汉字进行UTF-8编码产生的字节竟然不一样。
zlib压缩复原
这个就比较容易了,根据inflate特征可以知道是zlib压缩,为求稳妥,找到对应版本的zlib直接调api就行,这里用的是Python下的zlib。
zlib.decompress(data)
base64解码复原
base64的特征还是很明显的,就是解码表,github上搜一下就能搜到需要的源码。
static inline int b64index(uint8_t c) {
static const int decoding[] = { 62,-1,-1,-1,63,52,53,54,55,56,57,
58,59,60,61,-1,-1,-1,-2,-1,-1,
-1,0,1,2,3,4,5,6,7,8,
9,10,11,12,13,14,15,16,17,18,
19,20,21,22,23,24,25,-1,-1,-1,
-1,-1,-1,26,27,28,29,30,31,32,
33,34,35,36,37,38,39,40,41,42,
43,44,45,46,47,48,49,50,51 };
int decoding_size = sizeof(decoding) / sizeof(decoding[0]);
if (c < 43) {
return -1;
}
c -= 43;
if (c >= decoding_size)
return -1;
return decoding[c];
}
#define SMALL_CHUNK 256
unsigned char *decode(const unsigned char *buff, size_t size) {
int decode_sz = (size + 3) / 4 * 3;
unsigned char *result = (unsigned char *)malloc(size);
int i, j;
int output = 0;
for (i = 0; i<size;) {
int padding = 0;
int c[4];
for (j = 0; j<4;) {
if (i >= size) {
cout << "ERROR" << endl;
/*return luaL_error(L, "Invalid base64 text");*/
return result;
}
if (i == 0) {
c[j] = 7;
}
else {
c[j] = b64index(buff[i]);
}
if (c[j] == -1) {
++i;
continue;
}
if (c[j] == -2) {
++padding;
}
++i;
++j;
}
uint32_t v;
switch (padding) {
case 0:
v = (unsigned)c[0] << 18 | c[1] << 12 | c[2] << 6 | c[3];
result[output] = v >> 16;
result[output + 1] = (v >> 8) & 0xff;
result[output + 2] = v & 0xff;
output += 3;
break;
case 1:
if (c[3] != -2 || (c[2] & 3) != 0) {
cout << "ERROR" << endl;
//return luaL_error(L, "Invalid base64 text");
return result;
}
v = (unsigned)c[0] << 10 | c[1] << 4 | c[2] >> 2;
result[output] = v >> 8;
result[output + 1] = v & 0xff;
output += 2;
break;
case 2:
if (c[3] != -2 || c[2] != -2 || (c[1] & 0xf) != 0) {
cout << "ERROR" << endl;
//return luaL_error(L, "Invalid base64 text");
return result;
}
v = (unsigned)c[0] << 2 | c[1] >> 4;
result[output] = v;
++output;
break;
default:
cout << "ERROR" << endl;
//return luaL_error(L, "Invalid base64 text");
return result;
}
}
return result;
}
至此,基本上现在常见的lua脚本加密的逆向过程就完成了。
总结
最后接一个贴士,
农药的透视辅助,其实就是读取内存中的一段数据,然后传递到主程序,绘制出来,核心点在于知道保存这段关键数据的内存地址。但是,随着Android版本不断更新,权限管理也越来越严格,哪怕是root权限,android应用也不能访问其他应用的数据。现在常见的折中方法,写一段c程序,通过root权限,调用su指令调用这个c文件,将其他应用的内存数据读取保存到当前应用可以访问的文件,然后让辅助应用跟进更新。
