Codeooo 博客

frida -U -f 包名 --no-pause -l C:\Users\Codeooo\Desktop\hook_aes.js。这个地方，我们知道，参数1为data, 参数2为 长度， 参数3为返回值也就是常说的buffer;接下来我们干分析一波MD5，在上面看到是 MD5sum这个位置发现变动，点进来看一波；返回的响应头：x-xc-proto-res: 进行后续验证处理；好的，饶了一圈回到原点，看下最早我们 sign 怎么生成的吧；这个得 -f spwan去启动，不能用-F 附加了；

首先挂上代理抓个登陆包，结果发现抓不到包，我们直接换个思路，采用vpn转发方式进行抓包；sign, hsign，hext-union 三个参数加密；hsign长度为32，可能为MD5 ， 其他两个未确定；直接上我们的url定位：我直接附加吧是搞出来点东西，看样子有这个MD5, 先个堆栈追踪；打开提示目录中的，URLWithString_.js 文件把咱们万能堆栈加上去；记录下堆栈，砸壳分析一波：砸壳我这里用的是 CrackerXI ，继续往上找吧；

可以使用之前推荐网站，进站指令码和汇编转化后，进行更改hex ， F2保存；找到x9的地址，然后减去基地址也就是首地址，得到便宜地址；hook后地址，我们可以使用keyPath 去更改跳转；先使用 ADRP进站申明后，再清空后几位，进行 ADD；某app砸壳后放到IDA，根据堆栈查到该位置如下；BR 调到后面 x8 x9地址，汇编指令；后面无用指令，直接nop；

{2可以直接将path路径打印出来，然后我们提取这个文件到桌面；提取十六进制公钥，直接双击打开，选择公钥：注意，如果十六进制是01 00 01 结尾的，公钥后面是 AQAB才是真实的公钥；公钥的模n和公开幂e(通常是给的16进制Data数据)：0203为分隔符， 后面的 01 00 01 为模N， 幂e 则是前面的一部分；可通过双击安装证书时候，复制到文件：选择cer base64编码右键记事本打开就是非二进制的乱码了，是base64格式。

iOS能够支持的带公钥的证书只能支持 — 二进制编码格式的DER的X.509格式的证书.因此如果给予的证书格式是PEM格式,请将PEM格式转化成DER格式.也可以通过OpenSSL来进行RSA加密和解密,同时可以直接使用模modulus和幂exponent。然后,将刚刚生成的publickey data写入keychain中。

其他：pip install -U capstone。

本章测试

objection使用：objection -g 包名|pid exploreios sslpinning disable 关闭sslping认证。

常规oc类型遍历及构造。

下载地址应用宝： https://a.app.qq.com/o/simple.jsp?pkgname=com.hw.okm360壳加固脱壳并修复~过root检测，该app有多方面检测root~我们直接修改smali过掉~已达到一个去除root检测的方案。package com.hw.okm.g;DispatchConstants.SIGN, 就是"sign"那么就剩 s.a(s.a(sb.deleteCharAt(sb.length() - 1).toString()) + com.hw.ok

unidbg-boot-server打包jar及整个流程

我们思路是可以frida加载那个so, 然后打印出检测线程的偏移；如果是在so层里开一个线程检测frida；然后干掉这个线程，完成！

由于dy的libmetasec_ml.so满足了内层函数，且无上下文关联，又没签名效验；所以目前造成了一些计算出来的值被标记了，跟真机不一样而且xa的长度也是对不上；例如 rdata为全局并非一直写死的状态；没设备id 没ktoken 没launsk 而且emu 也会被检测；此案例最为经典，可单独直接运行so，无签名方案可不放置apk调用；真机的情况，真机启动的时候会初始化每次；

由于x 的libmetasec_ml.so满足了内层函数，且无上下文关联，又没签名效验；所以目前造成了一些计算出来的值被标记了，跟真机不一样而且xa的长度也是对不上；例如 rdata为全局并非一直写死的状态；没设备id 没ktoken 没launsk 而且emu 也会被检测；此案例最为经典，可单独直接运行so，无签名方案可不放置apk调用；真机的情况，真机启动的时候会初始化每次；下面是dy15大版本的xg~

【代码】 XGorgo加密0408。

【代码】xhs最新7.91版本unidbg调用方式。

==========逆向必备：函JNItrace是一个基于Frida框架的Hook jni方法的库。https://github.com/chame1eon/jnitrace加密函数定位：https://github.com/lasting-yang/frida_hook_libart.gitdump 脚本修复加密sohttps://github.com/lasting-yang/frida_dumpfrida hook模板：so :https://blog.youkuaiyun.com/weixin_3892

搜索接口参数 session_id search_id geo写死留空直接gg，马上触发数美滑块风控验证。

【代码】7.68.1版本unidbg调用方式。

【代码】X书关键词协议搜索。

最新version：7.62.2运行截图:源码展示：

X书的tiny风控代码，成功运行x-mini-sig|x-mini-mua

* 本代码适用于群控项目* 批量登陆账号的时候 登录后直接运行该脚本* 该脚本不会走退出 不会发送退出请求 不会将登陆后的token变为失效状态* 同时清楚登陆的app缓存 并授权所有权限 下次打开省去点击授权的步骤

SRB的tiny风控，成功运行x-mini-sig|x-mini-mua。

话不多说，这个apk如果是用unidbg调用的话，那就很简单，而且so层没有调用java层一些东西，都不用补环境。上图吧：

采用autojs定位方式，脚本提交举报。

【代码】抖音设备注册。

最新version：7.62.2。

中间输入一次验证码后，即可登陆，登陆成功后会获取sid值。可实现模拟登陆，注册，并返回登陆后的sid。

【代码】hluda之antiAntiFrida过frida检测。

需要设备的，自己抓取自己的device_fingerprint，deviceId值，也可以走博主的 “”X书设备生成设备“”市面上有很多抄袭的作品笔记

【代码】X书关键词协议搜索。

顶象验证码接口， 注意：代理ip需要在我这边处理，所以有需要加账号密码的 用我例子的格式。账号:密码@代理ip:端口。

【代码】抖音X_Gorgon 0404。

某 Flutter 实战

市面上已经很多分析步骤了。咱们这里直接上干货源码。

deviceId="700ef5fc-8461-3b0b-9fb6-4c358afa9ef2" device_fingerprint="20220412122752f97725e6434e057c08af155625d27a27015f5c6250d3cb90"设备生成接口：def getDevice(): res = requests.get("http://42.192.249.77:10086/device/codeooo")

dy|ks|xy

由于之前文章被删，分开重新发帖。

由于之前文章被删，分开重新发帖。