2503_90751938的博客

本文详细描述了通过逆向工程分析京东APP中sign生成逻辑的过程。首先，使用jadx工具定位sign生成的关键函数，并通过搜索x-api-eid-token找到相关引用。接着，通过逐层分析函数调用链，最终定位到加密接口ISignatureHandler的实现。通过hook技术，成功获取了加密函数的输入参数和输出结果，并确认了加密算法为MD5。最后，使用C语言复现了加密过程，验证了结果的正确性。整个过程展示了如何通过逆向工程和hook技术，深入分析并复现复杂的加密逻辑。

本文记录了使用魔改Frida绕过秀动App的Frida检测的过程。首先，通过魔改Frida成功挂起并绕过检测，随后分析了具体的Frida检测机制。文章详细描述了如何通过hook open函数并打印堆栈，定位到Frida检测逻辑的代码点，并学习其检测方法。此外，还讨论了逆向工程中信息搜集的重要性，以及如何通过线程法定位anti位置。文章还提到了使用spawn方法启动Frida以避免崩溃，并成功过掉了Frida检测。最后，文章探讨了抓包检测的定位方法，并通过hook相关函数成功绕过了抓包检测。整个过程展示了逆向

InlineHook 是一种通过修改函数指令来实现函数劫持的技术。其核心步骤包括：备份目标函数的指令，跳转到自定义函数，保存寄存器状态，执行自定义逻辑，恢复寄存器并调用原函数。具体流程如下： 劫持函数：备份目标函数的前几条指令，并修改为跳转到自定义函数的指令。 保存寄存器：在自定义函数中保存当前寄存器的状态，防止后续操作污染寄存器。 执行自定义逻辑：调用 pre_hookcallback 或 post_hookcallback，在函数执行前后插入自定义逻辑。 恢复寄存器：在自定义逻辑执行完毕后，恢复寄存器的

本教程旨在提供一份详尽的、手把手级别的指南，帮助您配置和使用 IDA Pro MCP 进行逆向分析。为什么突然发这个帖子，因为我认为https://github.com/mrexodia/ida-pro-mcp做的非常好，如果你能跟着我配置完这一个项目，那么其他的ai相关的环境以及工具都可以直接上手了，所以发出的目的就是以一个说明书的形式完整的带大家配一下ai工具的环境，以后出了新的工具也不用再学习了。教程写的很详细，有50页pdf长度，都是作者从0开始手把手配置的环境，肯定可以跑通。

本文详细描述了对一个OCR（光学字符识别）软件的逆向分析过程。首先，通过ProcessMonitor或火绒剑等工具监控软件的文件操作，发现其读取了与二维码识别相关的文件，并在OCR操作时读取了SQLite数据库文件，其中OcrResult字段引起了关注。接着，使用IDA进行逆向分析，搜索OcrResult字符串，定位到OCR功能相关的类，并通过分析类的虚函数表（vftable）推测出各个函数的功能。进一步分析发现，程序使用了ncnn框架进行OCR识别，模型文件被打包在程序中，通过断点截取数据。最终，程序通过

其中token暂时未知，c就是url参数中的t时间戳，s就是url参数中的appKey固定值，data就是url参数中的data的json字符串，简单拼接就行。经过验证headers是统一的不会变也没有加密参数，cookie也是一致的但有未知参数**_m_h5_tk**、最近演唱会增多，总是抢不到票，所以想从回流票入手，做一个某麦网的演唱会回流票的监控。，不慌，咱只是看看有没有票不购买，直接抓包随便一个音乐节的票量接口。而这两个接口里的参数大同小异，分别如下。_m_h5_tk**，这下大功告成了。

这里只说怎么去做，白盒AES我们通常是要找到倒数第二轮（在这里aes-128中是第九轮）的入口处去多次修改我们明文的单个字节，通过修改单个字节得到的加密结果与正常的加密结果进行碰撞就可以确定出部分第十轮子密钥，最后只要增加样本数，就能还原出第十轮的紫秘钥了，然后通过秘钥回推就可以得到初始秘钥了。这样我们就成功的获取到了第十轮的轮秘钥，由于AES加密算法轮秘钥生成的特型，有第i轮的轮秘钥是可以推出i-1轮的轮秘钥，以此类推，可以得到初始秘钥（由于篇幅问题，具体原理这里不再解释，有兴趣的朋友可以自行了解）。

协议解析成功率=成功解密API总API调用次数×100%协议解析成功率=总API调用次数成功解密API​×100%

根据拼多多平台规则及开发者文档分析，与评价协议相关的软件主要分为官方API工具和第三方服务商应用两类。拼多多开放平台提供评价管理相关API接口，需注册开发者账号并通过企业认证获取权限。

但方法总比困难多，我们可以从返回值开始，查找交叉引用，结合frida一步步的确定目标函数。可以看到，经过sha256算法的返回值在经过这个函数，把sub_3FDA4 函数的结果在经过base64之后在进行base64就是sig3算法的部分值。这两个位置的值，是读取图片的数据之后加密获得的，具体没去跟，因为同一个版本这个值不会变所以dump出数据就行，有兴趣的可以去跟下。可以看到sub_3E550函数的返回值是sig3算法部分结果，并且该函数调用了两次，第一次是要加密的内容，第二次是一个base64的值。

抓不到包，看不到关键字，那就只能根据经验猜测字段了，APP有登录功能，尝试搜索常见的API名称。已经到底了...再往下就是Native，再追下去没什么意义，所以下面就是最终的Hook了~之后线索就断了，堆栈回溯看了都没什么发现，突破点是在查看交叉引用向上找，在。明显的协议头，明显的http，引用了apache开源的HTTP框架。又发现了https链接的格式化，Hook试了试，URL就出来了。既然没找错，看A02方法，发现JADX反编译不出来，换用GDA。跟进去看，尝试Hook了一下，调用到了这个类。

支持同时登录多个Facebook账号，按照关键词采集小组地址，群发小组，批量添加推荐人，群发推 荐人消息，采集个人Facebook用户，群发用户私信，群发主页评论。通过客服台管理功能，和粉丝互动聊天，通过话术快捷回复，自动翻译聊天记录。通过FaceBook小组采集小组成员id，或者通过FaceBook个人主页，采集主页上粉丝批量操作已FaceBook账号添加推荐热，可以指定添加某个国家的推荐人，可以设置每个账号添加推荐人个数去重模式：所有的FaceBook账号不添加重复的推荐人。

还是定位再第一步的那段方法内。加密方式不变，只是加密明文有变化。fp简单，浏览器环境值再哈希，由于只是个demo，其他的都可以固定.这个值不一定的，要根据返回的小图图片宽度来，并且背景图有等比例缩放。那就全部搞定，用标准算法库套一下就?很容易跟进来，发现加密的几个参数都在这里了。轨迹随便搞了搞，r的话值要注意，那么就是看加密明文的组成了。逻辑同上，需要处理的就2个，，而这两个参数来自于前面的栈。k: RSA，公钥就在上面。一看到这就有数了，标准的。跟栈下断点，刷新验证码。不确定，要跟进去找找。

通过官网介绍和进行相关搜索可以知道 OSGi 是一种模块化开发的框架，旨在解决传统 Java 应用中模块化不足的问题。OSGi 的基本单元是 Bundle，被打包为 jar 包，但会多一些信息，比如 MANIFEST.MF 文件会定义模块的依赖、导出包和导入包等。分析的这款软件 Bundle 全都在一个 plugin 目录下面，都是 .jar 后缀，有很多 Equinox OSGi 框架自己的 Bundle。

2最大的优势是不需要手机等实体设备，投入成本更低，运营管理更方便快捷，部署运行更快速(1千个号真机部署从注册，上号到网络调整部署需要大量的机器，人力和时间，协议部署只需要1分钟，无须人工)，不需要任何实体设备安全性更高，功能上还能实现一些真机正常无法实现的功能。赋能跨境企业从获客引流到私域运营客户关系递进到工具效率及供应链赋能的关键三步，不管是B2B外贸，还是B2C/DTC/跨境零售品牌，都能借此实现差异化的S2B2C社交分销，在流量碎片化时代打造去中心化。可以设置好话术，回关自动私信，设置时间批量私信！

【代码】故宫协议开发。

大麦协议科技。

国博协议。

Hook 的关键就是通过一定的手段埋下“钩子",“钩”住我们关心的重要流程，然后根据需要对执行过程进行干预。HOOK技术导致了程序执行流程的改变。通过在执行真正的目标函数之前执行事先插入的代码，获得了程序执行过程的决定权——“插入特定代码以干预程序的执行流程”就是 Hook 的奥义。（通过修改IAT的方式拦截对API的调用，所以称为）注意：如果是通过动态加载的就不行了，因为动态加载的dll的API不在iat中,而是动态生成的.执行地址01002628处的CALL命令后，运行将转移至user32.SetWin

jni注册是这3个函数，比之前少了很多，后面hook了下w11是主函数加密。之前tn，pri都是在java层加密的。分析过3代的都知道，是根据一个随机数加密的rsa。这个随机数就是指纹最终加密的aes的key。最终的算法我就不放了，自己研究一下就能搞定，都是标准算法。里面用到了压缩算法，那就是把整体的a3压缩了一遍，在aes一下。然后再跟进去51200这个地址，大致看一下，也就是调用java层的rsa加密。v43是字符串拼接之后的东西，应该是md5了一下。用了这些c库，那就是随机值了，当前时间为随机种子。

进程的SessionId代表了该进程所在的Windows会话 ( session ) 的ID号, 当有多个用户同时登陆的时候，Windows会给每个登录用户建立一个会话，每个会话都有自己的WorkStation和Desktop，这样大家就可以在不同的会话中共用一个Windows系统，对于XP来说，只有一个用户登录的时候，用户启动的程序和系统服务都运行在session 0，当切换到另一个用户账号的时候，系统会建立Session 1，以此类推。我昨天啊~看见了你和一个女生在一起逛街，你们是不是？

又当大家信心满满的把frida过SSLPinning 以及xposed的justtrustme安装到手机上的时候再次打开apk,发现某音apk用的竟然是非系统的的ssl库。最新版的某音用上了sslpinng技术,而且还是so层,导致很多想要一窥究竟的小伙伴抓不到包,让人十分头大.当你信心满满的吧抓包环境配置的非常完美,准备大干一场的时候. 发现某音apk用了SSLPinning。如果不想动小手patch的同学,这里也有一份小弟搞好的32位的17.3版本的so 可以手动下载食用。然后拿出我们心爱的安卓手机。

123456789101112131415161718192021222324252627282930313233343536373839fromimport## 定义需要检测的 变量 : flag + '_' + 地址 + '_' + 寄存器### 翻译的测试代码deff(x):0forin(x):index# check ret 和 0x10000393c 的 w8 的寄存器值returnxifimport。

接下来的代码很多都是这种动态计算跳转地址的。修复结束之后跟踪指令，0x3434处的代码跳到了0x345A，0x345A处的代码主要逻辑是在0x34C6跳到0x34EC通过0x34EC动态计算地址跳到了0x3520，0x3524处的代码跳到了0x365C，0x366E处的代码跳到了0x35A8，0x35A8是JNI_OnLoad的主要逻辑。BEQ和BNE是一对条件相反的跳转，这之前计算出接下来指令的地址0x3430赋值给R4，loc_340C处的代码通过POP指令将R4的值给PC，看0x3430处的代码。

地址，并且存在0x21的，则代表是我们要找的执行方法（过滤一下是因为其他地方可能也会调用到这个地址，并且值刚好一样）猜测我构造的unidbg可能并不完善，并没有读取到已经返回的a7，那么此时的a7有可能是自己加密生成的，分析代码，看a7如何构造，然后抓包分析获取真正xid之前的mtgsig参数中的a7，对比加密是否一致。6.分析以下包括赋值地址的位置，是否赋值完成，以及，该地址附近的方法是否方法的末尾，最终定位到0x0db56是方法末尾，而0xDB52则是方法调用位置(hook该地址看入参和出参)

首帖，写的不好的地方欢迎大佬指正。

最终hook这两个函数都没发现⽣成具体的sign值 加密串也没有最终被修改 于是随⼿拿之前得到的加密串去做个MD5发现直接就跟sign⼀样 所以⼤概得出这个sign算法就是标准的 MD5。看名字就猜到了http相关的⼯具类,接着继续找关键字sign ,因为⽹络相关的类都在framework包下的 helper⼦⽬录中所有随便翻翻找到⼀个。参数1为之前调⽤java 层 native⽅法中请求参数排序后的value 字符串,参数2位固定的加密因⼦ 将两个字 符串拼接后⽣成新的待加密串。

1.安装vs code，点扩展，搜索frida Workbench安装，然后新建一个js文件,就可以开始编写hook代码了。为了防止app被次打包，通常会进行签名校验，当app被修改并重新签名后，签名信息与原来的签名信息不一致，导致app不能正常运行。2.遇到这种有签名校验的，就不能通过修改代码，重新编译对它进行篡改了，这个时候就需要使用frida对它动态修改了。反编译apk文件，来找到签名校验的关键点，也就是它使用了哪个函数来实现的这个签名校验.1.反编译找到签名校验的关键点。1）打开shell窗口。

1.绕过jar Class检测。8.绕过ClassPath检测。5.绕过maps检测。

这两个函数是so文件在被加载或者卸载时自动执行的函数，用于初始化的操作，其中init函数优先于init_array函数。作为so层加载很早的函数，可以通过实现hook他来绕过一些关键的检测点。也正是因为加载过早且初始化后只加载一次，我们如果直接去hook是无法get到的，通过上面的流程我们知道了这两个函数是在call_constructors中进行加载，我们就可以通过逆向hook相关的native函数进行加载hook。通过在加载过程中进行hook操作。

第一章搞定了,Tk的上网环境,但是还不能抓包,因为Tk系的协议不太一样用的是QUIC协议那我们今天的目标是绕过这个协议,让他降级,实现我们成功抓包的目的(还有会番外篇非降级抓包,可以小小期待一下)文章尽量还原每一步,尽可能写的详细,如果还是有问题可以加我微信沟通Alive0501。

免责声明: 本文内容仅供学习交流使用,请勿用于其他用途,如因使用本文内容而产生任何问题,与作者无关,如果本文侵害贵司权益,请联系下架处理最后还剩下一个图片请求返回的内容是加密的,本章把这个图片加密解一下本篇做的是web的滑块,app跟web用的是同样的加密,用扣代码的方式把这个搞定。

首先 我去hook dlopen 在打开dexhelp这个so的时候 去hook下jnionload 看看它做手脚的地方是否在init里面 发现不是 那我只需要去hook clone函数 打印出相关线程信息 然后 加载这个so的时候 nop 掉它 测试是否能绕过即可。此处的 E6850是clone 而 通过 pthread_create 函数创建线程传递的 线程函数 就是 v50 而clone函数的第四个参数 v27 + 96 是所需要的线程函数 这样 就可以去试试 写一下hook clone代码了。

经过上述分析，可以确定目标字符串来源于一段 JSON 数据，而这段 JSON 数据来自于一个经过加密的本地文件。对字符串 "sdi_v2" 进行 SHA-1 计算，得到 20 字节的结果；将第一步得到的数据进行MD5计算，生成16字节的结果；将第二步的结果转换为十六进制字符串，从而得到 32 字节的密钥。写这种算法分析的帖子真的是太无聊了，就先分析到这里吧，后续有机会再来谈下被加密的本地文件是怎么来的！！自我感觉TT的算法并不难，就是量太大了，所以我想问问有没有感兴趣的朋友来一起分析，欢迎联系。

根据日志发现:签名来自于AuthKit的-[AKAppleIDServerResourceLoadDelegate signRequest:withCompletionHandler:]的一个block,这个库是放在共享缓存库里的,找到提前准备好的IDA文件,先去找主方法,根据分析IDA,最后找到了实际生成签名的方法:t1。,接受五个参数,context(之前讲的获取到的客户端证书),bytes(待加密的body字节),length(字节长度),以及两个接受结果的参数,直接进这个方法看,

开发一个鲸探逆向协议抢票软件的步骤可以分为多个部分，包括登录、抓票、抢票等。

开发一个猫眼逆向协议抢票软件的步骤可以分为以下几部分，包括代码示例。请注意，这只是一个概念性的示例，具体实现需要根据实际情况进行调整。

缤纷岛协议抢票软件。

票星球逆向协议抢票软件通常利用自动化脚本和网络爬虫技术，旨在快速获取热门活动或演出的票务。

此外，脚本还具备一定的灵活性和可配置性，用户可以根据自己的需求调整脚本的参数，如目标演出ID、购票数量等。这种设计使得脚本不仅适用于特定的抢票场景，还能应对不同类型的演出和购票需求。灵活配置：用户可以根据自己的需求调整脚本的参数，如目标演出ID、购票数量等，确保脚本适用于不同的抢票场景。高成功率：通过自动化抢票，脚本能够在开票瞬间完成购票，避免因手动操作延迟而导致的购票失败。其他热门活动购票：除了上述场景，脚本还适用于各种热门活动的门票抢购，如音乐节、展览等。