Codeoooo 博客

函JNItrace是一个基于Frida框架的Hook jni方法的库。dump 脚本修复加密so。

需要加密的值 ：“pro6.4.0.00njbh2wlr_1685327378963_38033100”这个时候就明白了吧，这个地方就是上面的 最开始trace下堆栈及加密的地方了。入参拼接 appid、cv、platform、reqid、version。我们把结果base64下，看结果是否一致，来判断base64是否魔改。看到这里也是做了rsa然后base64, 没有其他操作。bool a5为 0，也就是false, 直接走。验证base64为标准；我去，这不就直接出来了吗。根据刚刚的堆栈，跟一下。

hmac 结果都是在，响应头里，所以 hmac 是服务器下发给客户端的.或者在抓包响应头中: 查找xy-ter-str。上面一遍unidbg解密shield文章。

我们思路是可以frida加载那个so, 然后打印出检测线程的偏移；如果是在so层里开一个线程检测frida；然后干掉这个线程，完成！

函JNItrace是一个基于Frida框架的Hook jni方法的库。dump 脚本修复加密so。

搜索接口参数 session_id search_id geo写死留空直接gg，马上触发X美滑块风控验证。

会获取sid值。

话不多说，这个apk如果是用unidbg调用的话，那就很简单，而且so层没有调用java层一些东西，都不用补环境。

采用autojs定位方式，脚本提交举报。

市面上有很多抄袭的作品笔记，做负面下沉业务~

【代码】SRB关键词协议搜索。

http://42.192.249.77:31191/dx/Codeooo/各个商户的ak标识/你的代理ip。注意：代理ip需要在我这边处理，所以有需要加账号密码的 用我例子的格式。账号:密码@代理ip:端口。

X_Gorgon 0404。

图例： Flutter 打包后的so文件所在位置。

市面上已经很多分析步骤了。咱们这里直接上干货源码。

【代码】设备注册生成device_fingerprint|deviceId。

中间输入一次验证码后，即可登陆，登陆成功后会获取sid值。

【代码】群控登号辅助脚本。

X书的tiny风控代码，成功运行x-mini-sig|x-mini-mua。

【代码】X关键词协议搜索。

【代码】768unidbg。

可以直接将关键词搜索的，笔记， 用户等多个数据进行hook回传。

我们分析 ：Authorization 及 X-Request-Id。我们清掉缓存重新打开下，查找下设备注册认证的接口。好了协议分析完毕，我们测试下请求发现并不成功。内容的id也就是为：post_id。上下文主界面启动设备注册算法。这两参数有点东西哈。

都使用了quic协议，最近需要分析下抖X抓包，网上找了下教程，在看雪上看到一遍17.3版本修改so过sslping的方式，照着去弄了下，结果发现方式已经失效了。我们看到了抖音在java层也可以进行hook让他走http协议，不走quic协议，这个大概就是抖音灾备降级方案，可以降级处理。用 frida-spwan模式调试下，我试了几种方式可都没有成功，后编写了下xposed插件可以试用了，且很稳定抓包。失效也很正常，毕竟是一年以前的教程了，不过我妥妥的吃了一波瓜。[点击并拖拽以移动]

其实xhs就是用的okhttp3发包请求，而且shield只是参数解密，最重要的风控，数美无限滑块，登陆后的sid等才是关键。

函数中大量使用了JNI方法，JNItrace会大大减轻这部分我们的工作量，忘了说了，JNItrace是一个基于Frida框架的Hook jni方法的库，unidbg - 》 getStaticObjectField 方法填写你的手机deviceId。hmac 结果都是在，响应头里，所以 hmac 是服务器下发给客户端的.或者在抓包响应头中: 查找xy-ter-str。直接将每个函数的偏移地址搞过来。没得问题，shield已经生成。shield-unidbg方式。

点进去 Java_com_sogou_scoretools_ScEncryptWall_encrypt 查看。继续往下走， GenXor_S(v10 + 16, (*(a7 + 6) + 16), 32, 32);而且我们观察参数，n_crypto::PublicEnc(v8, v9, v6, &v11, v4);进到这个函数我们看下参数，根据jni前两个都是固定的，后面几个是传进来的参数。n_crypto::PublicEnc 看着像是rsa最后加密方法，我们去看下。

微博hook-cookies:(xposed)：通过httpClient发送出去。

由于评论接口风控较严格，现在使用账号进行采集，之前游客注册方式已不行。将登陆的账号，抓包将sid拿下来替换。同理：其他接口自行抓包替换即可使用。协议模拟：测试demo。

事件1：为期三个月打击侵权行动----6月持续到9月双月计划----清扫爬虫事件2：APP接口风控提高-----持续事件3：web端进行摸排升级改版-----7月事件4：APP增加unidbg|unicorn检测对抗 ----最近一个月内上线unidbg全线拉稀----蜜罐机制事件5：机器环境检测----封设备处理------2个月左右上线手机抖动，光感问题，手机陀螺仪等事件1：为期三个月打击侵权行动。

且本次关键词搜索，会新增一个字段，在搜索列表页面右下角，部分笔记会出现 “广告”及“赞助”字段，这才是本文采用app搜索的目的，就是为了获取该字段；由于APP风控强度较大，经过测试关键词搜索接口风控是很高的，必须采用登录后sid携带去请求，会触发风控造成无限滑块，数美滑块通过后仍然会出。·用户主要 ：该接口较严格，风控强度高，访问次数多不光是无限滑块问题，还有账号封禁情况，基本上都是从该接口埋点进行触发拉黑并标记。结合目前情况，X书三端并不统一，结合多端对比，APP的数据最全最新，字段也是最多。

【代码】deviceid iid 明文。

说一下这个界面吧，这个界面用于当时刺激战场的登陆界面，密码是根据时间来的，比如现在是20:10 那么这个密码就是2010 四位数。那一年在过年，闲来无事，上网搜了很多资料后，做了几个好玩的app，不过现在基本都失效了，只能看看界面了，嚯嚯嚯~~然而当时，这些开发的时候并未注意到很多细节，包名类名都是瞎弄的，就是弄着玩的。周末闲来无事，想起来了以前的时光，很怀念......（甩一文 ）现在这些软件都不能用了，很多接口也停了，我就纪念下当时的心情。物是人非，18年底到现在，4年多了。# 刺激战场画质修改，

我们发现每次登陆之后sid值会发生改变，重新修改了sid值，然而在代码中也得到相应的认证了。没得问题的了，这样我们就不用每次过sslping 去抓包拿取sid用户信息了。写个xposed稳定调用，并hook sid 发送回来使用，就完美搞定了。前面文章提到，登陆后获取用户cookie，sid值就是用户登陆标识。

该app可以自己给自己发短信，包括发送人手机号，内容均可自定义。//简单的获取读取短信权限。

我们在操作群控及云控的时候，我们想把验证码发出来，这个时候我们人工去弄得话，极为繁琐。除了前几年QQ还是很火的时候，使用的猫池接码，现在也消失匿迹了，若有资源可联系我，本人需要几台测试。这里指的是手机内接码，可指定号多次接码，并不是接码平台。

直接脱壳处理，脱完壳分析dex:时间戳 ，md5 ,64se64 , 还有请求的url ,参数等做了一些操作。我们重点看下："X-ITOUCHTV-Ca-Signature“走了一个r方法：=======判断x(str）其除了请求中/baoliaoservice，则秘钥为：bArr = b.c().getBytes();其余秘钥都为： bArr = b.h().getBytes();b是导入的：import i.s.b.a.b;

下载地址应用宝： https://a.app.qq.com/o/simple.jsp?pkgname=com.hw.okm360壳加固脱壳并修复~过root检测，该app有多方面检测root~我们直接修改smali过掉~已达到一个去除root检测的方案。package com.hw.okm.g;DispatchConstants.SIGN, 就是"sign"那么就剩 s.a(s.a(sb.deleteCharAt(sb.length() - 1).toString()) + com.hw.ok

X书Scheme全网最全,配合AutoJs使用。autojs 这样使用：、

1.jadx反编译，查看直接在onCreate之前就进行加载了一个so查看so有大文章：直接分析动态注册：静态分析 改改参数：jclass FindClass(const char* name) FindClass（查找java中的类）jclass cls = (*env)->FindClass(env, “类路径”);|| 或这里有一个成立，则会返回-1。