前言

嗯，夜幕爬虫安全论坛正式开放了，总是想着要写点什么，不能总是白嫖技术和方案啊，O(∩_∩)O哈哈~。

抱着此目的就有了今天这篇文章。

今天来聊下 Android 逆向的一个场景的解决方案（今天只聊 java 层和 native 层的解决方案，毕竟老板只要结果，不是吗？这里不说加壳加固，反 xposed，反 frida 的情况），此方案用于调度（简单 < 难度）级别的 native 函数，为什么要适用于难度大于简单级别的呐，因为简单的 native 不是不可以用，但是本着深追技术的目的，还是自己去分析 so，分析汇编，分析伪代码吧，正好也可以锻炼下自己。

引例

大家如果看过我写的这篇【AndServer+Service 打造 Android 服务器实现 so 文件调用】文章的话，应该可以理解到我的用意。

其适用场景：

1，so 没有效验包名，签名什么的

2，native 函数的入参，没有 context 等特殊对象

言归正传

今天的主题就是解决引例中的方案的局限性，依靠注入目标 app 进程，完成调度，所有的东西都是目标 app 的，我们只是依靠注入框架，拿来用一下而已，一切看起来都是那么的和谐 and 理所当然。

1，frida-rpc + server

个人感觉用于开发测试中还行，生产恐怕不太适合，还要连接pc，还要启动手机端的 frida-server，一重启设备还要重新弄，麻烦。但是开发环境中 frida 地位是毋庸置疑的。

2，xposed + server

推荐 xposed 模块 + NanoHTTPD 调度

3，xposed + client

推荐 xposed 模块 + sekiro 调度

这里有必要说明下，个人感觉设备作为 client 的调度方式应该为该解决方案的最终版本，这样可以由调度平台统一管理众多 client，"群控"调度，有诸多优势，这里就不细说了，具体优点可以查看 sekiro 的说明文档。sekiro 调度平台由逆向大佬 virjar 开发，十分推荐，这里是 【传送门】

当然，三种方案都需要【目标app的运行 + 注入框架】，然后自己手动编写hook或主动调用逻辑，提供给调用方即可。不管是 client 方式也好 server 方式也罢，其目的都是为了进行通信，模拟加密等主要逻辑还是在于 hook 逻辑的编写，当然也并不一定要使用 xposed ，也可以选择其他的类注入框架，这就看个人选择了。

特别说明：上面提到的"群控"调度，并非【appium，airtest + 中间人】的那种群控，两种方式完全是不一样的思想，airtest 这类的工具主要还是依赖 adb 完成自动化的操作。而今天说的这个解决方案，更多的是，依赖内存中【目标app】的类或实例调用其方法，完成加密，解密等一系列操作。两种群控方案的优劣势可想而知，被 adb 群控方案折磨的爬虫开发者恐怕大有人在。

实现

空洞的文字可能显得没有说服力，说一下我目前用此方案的实现成果。

1，某手

sig, __NS_sig3 的模拟生成

2，某音

as,cp,mas X-Gorgon 的模拟生成

3，某信

hook 文章推送，hook key的生成，hook 转链接，api 调度自动发消息机器人，自动回复，*信文章自动点赞，公*号自动关注，自动取关

*信 key 的 hook：

api调度生成key

当然，其中有些可以不用写成 server 或 client，比如 hook 文章推送，只需要拦截到推送的 Msg ，写个 okhttp 之类的东西，发送到你的 web 端就好了。

[ttreply]

补充

刚才淇哥给我提到了安卓的无障碍功能（也就是辅助功能，比如现在各家 rom 自带的抢红包助手，应用市场的省心安装，盲人模式的 TalkBack 等），都是基于此服务做的实现，我想了一下，此功能很适合有些场景。举个简单的例子，比如*信 hook key 的实现，我是先 start 其 WebView 组件所在的 Activity，让其 load 我们的目标 url，hook 到 key 之后返回 response，这样一次【请求->响应】的过程就结束了。但是，正常生产环境中，我们可能还需要 finish 掉这个 activity 回到上个 activity 的需求，我目前是利用 hook Activity 的 onCreate 方法，然后再 postDelayed 一下 finish 掉该 activity。此方案基于 xposed 的注入而实现，但我们有时确实可以换一个思路，用安卓官方提供的这个 AccessibilityService 然后自定义一个 Service 监听事件就好了。确实是个不错的思路，为淇哥打 Call !

结语

好吧，今天没有 demo 和代码可以放，最近比较忙，我又不可能放出公司的代码。所以今天的文章旨在介绍一个思路和提供一个实现调用 java 层和 native 层的技术方案，爱动手的同学可以按照自己的理解进行实践操作，或许有时候多踩坑才能有更多的理解，这谁说的准呐。

后续有时间的话，再补上代码和示例吧，最近实在太头晕了，o(╥﹏╥)o

再次补充

2020-04-06，突然在网上看到了不错的相关文章和分析，大家可以尝试多点参考和理解

1，浪哥的 sekiro 原理分析：https://github.com/langgithub/sekiro-lang

2，xsren哥哥的 sekiro 实践：https://www.jianshu.com/p/6b71106c45eb?from=timeline

3，实践出真知

[/ttreply]