移动安全逆向分析流程

开发 前端
如果等级低,则出滑块,不返回数据或者返回异常,提示实名认证,比如某国外社交app,需要人脸认证、身份证、手机号码验证​。

抓包

第一大问题就是抓包,如果包都抓不到,那基本就没法进一步入手了。

而现在的app,稍微有点安全意识的,都会防抓包,并且安卓7.0版本开始也自带了安全等级,不再信任用户安装的证书,只信任系统证书,以及种种类似的情况,这种我们怎么处理呢?就得具体问题具体分析了。

系统代理检测:charles+VPN(postern、drony、小黄鸟)
网卡、vpn检测:过网卡、vpn检测脚本(以OkHttpLogger-Frida为例)
sslpinning检测:
objection 关闭ssl
frida unsslpinning脚本
tcp/udp包:mitmdump、小黄鸟
用户证书:
使用7.0以下的系统安装抓包
xposed:justTrustMe插件
frida:过证书检测脚本
证书绑定,双向证书
r0capture
针对spdy/quic:frida降级
flutter sslpinning: frida过检测脚本
自实现http请求库:
针对跟踪,hook入参和返回值
protobuf/gRPC:https://mp.weixin.qq.com/s/8yOabTkMid9iKcbMJjYVHA
tls检测:
具体情况具体处理,据说某迈也有移动版,所以也有tls检测
抓包框架:lamba:https://github.com/rev1si0n/lamda
eCapture:eBPF下的抓包工具,无需CA证书即可抓HTTPS明文

目标点定位的思路

抓到包以后,拿到了接口,以及加密参数,怎么定位这个加密参数生成呢?

1.看请求参数,搜索想要查看的特殊字段(并不推荐,但是确实能解决50-60%的app)。

2.objection 列出所有的类,hook全部,然后看关键点的时候哪些类被调用了。

3.利用dumpsys window 或者activity看当前的activity(mt管理器也可以记录activity),进到里面找逻辑,如果逻辑代码太多则不适用。

4.观察各个接口的请求参数,是否都有一样的请求体结构(换句话说就是看这些请求参数的键名)是不是一样的,如果一样,按照开发逻辑理念,一定有一个通用的模板加密类,搜一个加密字段,找到这个加密类,查找用例,或者用objection跟踪,打印调用栈。

5.hook 通用的加密算法,打印调用栈。

6.hook 网络库okhttp,request等的(以OkHttpLogger-Frida库为首的)。

7.hook hashmap的put方法,大部分的请求参数基本都用的hashmap封装请求体,hook put方法,打印调用栈,则可以找到(并不100%通用)

8.hook string类的getBytes等的常用方法或者转Json的方法。

9.hook Byte类的toString等的常用方法或者转Json的方法。

10.hook Toast类,主流开发习惯,提示弹窗都用的这个类,hook它,看调用栈。

11.关闭网络,再发起需要操作的目标接口,看报错提示,利用报错提示找调用栈,实际操作时,大部分情况跟思路10重合。

12.用frida hook 类android.view.View,点击哪里hook哪里的方法,打印调用栈。

13.hook Log类,按照开发逻辑,开发人员会在开发的时候会在一个阶段里用log打印输出日志看逻辑,hook log打印调用栈,有时候有奇效。

14.有的app会检测返回值的格式,并解析输出显示,看是否有通用解析类,hook它,如果hook不上(或者找不到这种类),则用抓包工具修改返回值,然后看解析逻辑(不常用)。

以上方法也无法保证通用,比如也有反调试调用栈,使其打印不到核心调用流程或者直接返回空调用栈,这种就得针对处理了。

GDA 、jeb、jadx,混着用,别只用jadx,有时候jadx解析并不好,看不到逻辑。
比如某wtoken,用jeb可以直接看到一些逻辑,jadx的那个部分解析失败。

调试

当定位到加密参数生成逻辑的时候,准备调试。

一般用objection跟踪类,看调用栈,结合源码,写frida脚本调试,如果在frida逻辑里能hook或者主动调用实现,此步结束。

目前来看,到这一步,基本都会遇到frida反调试,frida直接用不了,有时候换用lsposed,会有奇效,如果还不行,这就需要去对抗检测了,三两句就说不清楚了,感兴趣可以联系我。

加密协议实现

调试完感觉能行得通之后,开始实现加密逻辑。

1.确定是什么加密算法(并不通用,需要结合实际)。

2位,一般是md5
带【==】一般是base64,如果这个【==】还带有【/】,那多半用了aes/dex/rsa,并用base64做了二次加密
40位的加密结果,一般是sha
请求体是乱码,看是否是tcp或者protobuf

 这里的加密算法,推荐看Q佬的文章。

2.判断是否是标准的加密算法,给一个固定的入参,与标准的算法对照加密结果。

3.实现协议。

这个就需要需要花精力分析,尝试,实在无法实现,可以用unidbg,不要纠结于手段。

风控对抗

当以上步骤你都走完后,请求几次,发现确实能拿数据,于是你非常开心的部署并跑起来,结果批量跑没多久,就各种异常返回,滑块,403啥的也跟着来了,这时候你可能就遇到风控了。

什么是风控,以下是简单版的,这个不一定齐全也不一定对,后面有空再单独搞个专题文章介绍风控的。

手机品牌、型号、壁纸、上网模式、wifi名等上百个基本的设备参数gps,陀螺仪root检测app检测(一般检测是否magisk包)网络/vpn检测,网络状态实时上传行为分析,按钮点击次数、接口请求统计分析某个页面停留时间,重复请求次数请求调用栈顺序分析...

结合以上信息,传到服务器,服务端收集到用AI推演出用户画像,行为习惯,判定风险等级,然后给定设备/账号限制。

如果等级低,则出滑块,不返回数据或者返回异常,提示实名认证,比如某国外社交app,需要人脸认证、身份证、手机号码验证​。

风控这种东西怎么对抗呢,这个就真的难说了,只能花时间测试并针对调整了。

责任编辑:武晓燕 来源: 编角料
相关推荐

2021-03-31 11:35:00

网络安全OllyDbg分析工具

2021-02-23 10:43:42

Facebook Ga

2021-04-13 11:15:54

网络安全C语言循环结构

2021-04-08 11:10:22

网络安全C语言if…else…

2010-09-30 09:40:45

2011-10-26 09:19:41

移动Web

2015-08-21 17:52:52

逆向分析BinNavi

2020-04-20 09:37:41

移动边缘计算云计算安全

2013-09-30 10:06:05

SAP

2013-09-30 10:37:09

SAP

2024-08-06 09:54:20

2021-08-26 10:05:31

APP安全加密网络攻击

2012-12-13 21:34:30

2021-05-21 12:52:47

网络安全Android App虚拟机

2018-08-20 13:46:59

Android逆向分析终端安全

2014-12-31 11:12:14

2021-04-01 10:40:22

网络安全软件

2012-05-18 09:54:05

2012-06-04 10:37:12

2015-06-12 09:17:33

点赞
收藏

51CTO技术栈公众号