作者论坛账号：mengxinb

前言：

app ：Fake Location 1.3.2.2（http://fakeloc.cc/app）
工具：jadx、burp、frida、pycharm、ida、雷电模拟器、算法助手
方法：hook相关代码
难点：加壳、代码混淆、双向证书校验、so层加解密

app界面：

正文：

注：软件为360加固，需要先脱壳

1.观察app，发现切换专业版功能后会出现一个“试用专业版”弹窗，我们直接用算法助手定位

2.勾选“控件文本赋值记录”后重新打开app，可以发现算法助手已经捕捉到“试用专业版”的相关信息

3.我们直接将脱壳后的dex文件全部放入jadx中反编译，然后搜索堆栈

4.直接hook该方法，发现确实被调用，而且第一个参数就是“试用专业版”，仔细观察代码，就会发现这是一个配置按钮的方法

5.我们要找的是判断是否为专业版的地方，软件肯定是先判断是否为专业版，然后再根据判断结果执行是否显示“试用专业版”，因此我们得往上继续追

6.定位到方法后，我们可以看到刚才的m2329，仔细观察，可以发现这个方法也还是一个配置方法，根据不同的判断，来配置视图，继续往上追

7.我们追第三个，这个是双类中的方法，因此要先搜类，然后再去里面找方法

8.定位到类后，直接找里面的onPostExecute方法，在此方法里，我们看到了熟悉的m4095，而且它是在一个判断条件里，如果”!C1808.m3820()”为真，那么就执行它并直接返回，而m4095又是一个视图配置方法，那么我们是不是就可以猜测，”!C1808.m3820()”就是一个判断是否为专业版的地方，如果为真，则执行弹出”试用专业版”，如果为假,则执行其它

9.我们直接双击m3820追上该方法，直接hook它让它返回true，这样”!C1808.m3820()”就会为假，就能跳过m4095

10.运行代码，成功完成破解，所有功能全部正常使用

拓展：

绕过双向证书校验

1.我们深入研究软件判断专业版的原理，观察m3820可以发现只有当m3819和m3821都为假时，它才会返回真，而m3819和m3821都是获取时间戳，然后用J去比较大小，只要J大于时间戳，那么它们就都会返回假，从而实现专业版功能

2.直接追key和token看看里面是啥，在这个类中，我们能看到很多跟登录信息相关的东西，可以推测这就是从服务器获取相关信息，重点是key和token的值

3.设置burp代{过}{滤}理抓包后，发现抓不了包，而且app显示”Trust anchor for certification path not found.找不到证书路径的信任密钥。“，显然是app做了证书校验，我们直接用算法助手的”justTrustMe“过证书校验

4.可以发现，软件显示400，并且能抓到app的包，但是显示”400 No required SSL certificate was sent“，因为这是双向证书校验，”justTrustMe“只能过掉单向校验，双向证书校验需要客户端提供证书发给服务器并由服务器进行验证；而这个证书一般都放在软件里面，因此我们需要去找到该证书和密钥然后将它导入到burp才能实现抓包

5.将app后缀修改为zip后全部解压出来；正常来说，证书一般都是存放在assets或者res中，并且证书格式一般为”.crt“、”.cer”或者”.p12″等等；但是这个app狡猾的一点就是你用常规方法找不到它证书，无论你在文件中搜啥，你都搜不到；这种情况只能去代码中找线索了

6.正常来说，有证书那就有对应的密钥，而”KeyStore“就是密钥库，存储了密钥和证书；直接搜关键词”KeyStore“，直接进第一个，可以发现这个方法就是用来配置证书连接的；它会创建两个密钥库并指定为BKS格式，一个放客户端证书密钥，还有一个放服务器端证书密钥，并用密钥保护各自证书；因为”justTrustMe“已经帮我们解决了服务器端的证书，我们只要看客户端的就行；重点观察r2，可以发现它证书居然伪造成.png格式，怪不得怎么搜都搜不到，这个作者真是大大的坏啊；然后我们直接双击”f14125″去看密钥，可以发现密钥就是：“lerist.key.2021”

7.现在密钥有了，证书也有了，但是证书是.png格式，必须将它转换为正常的证书;在代码中我们可以看到密钥库格式为BKS，因此我们也要使用同样的格式将其转换为正常的证书格式；在这里我使用“BouncyCastle”对其进行转换；转换后的证书命名为“keystore.p12”

8.将证书导入到burp中

9.重新打开软件开始抓包（算法助手中的”justTrustMe“勾选后打开），可以看到成功绕过双向认证实现抓包

破解so层加密

10.我们登录软件后抓包看看，可以清楚的看到登录包的相关信息，以及服务器返回的响应，在响应中我们能看到key和token，并且是被加密了的，有加密必有解密，软件肯定是要解密服务器的信息然后再拿去比较的

11.我们回到代码查看；j最终是要跟m3838这个时间戳比较，那么j肯定是要被解密后才能去跟一个时间戳作比较，而m4305就是解密的关键

12.直接hook m4305看看它的参数和返回值，参数就是key和token，确实是这个方法解密了，解密后的数据是一个数组，其中第一个时间戳为专业版过期时间，另一个为距今七天后的时间；那么我们就知道这个软件的验证原理了——它从服务器获取两个时间戳，然后分别跟现在的时间戳进行比较，只要从服务器获取的两个时间戳都大于现在的时间戳，那么判断你就是专业版；而它解密的关键就是”LSafety.getObjs“，直接双击跟进看看

13.可以发现它是本地方法，在so层进行解密操作；因此，我们得去找到libsafety.so文件，然后将它拖到ida中查看

14.直接搜”getobjs”，双击跟进查看，f5将其转换为伪代码便于查看；可以发现返回的是一个函数；我们继续跟进查看

15.跟进后还是返回一个函数，继续跟进；还是函数，接着跟进；最终我们在de()函数中定位到最终解密的地方，并且a2和a3就是传入的key和token

16.它是静态注册，我们直接改参数；然后查看解密的具体代码

17.仔细研究后可得——（函数先对key进行base64解码——>获取K_PREFIX和token进行拼接转换生成密钥——>使用DES算法用密钥对key进行解密）；整个流程知道了，现在就差K_PREFIX的值了，跟进看看它的值是啥

18.直接一眼就看到了K_PREFIX的值为”Lerist.“，万事具备，只欠东风；直接用py编写解密代码，并进行验证

19.可以看到，成功解密出key的值

20.当然，你也可以编写对应的加密，通过拦截获取token的值，然后修改两个时间戳让其大于现在的时间戳，再对其进行加密，然后发包给软件同样实现破解；破解的方法有很多，不同思路有不同的破解方案

总结：

通过研究此款app，我学到了不少东西，无论是双向客户端验证还是so层解密等等，都让我受益匪浅，怎么说呢，逆向的道路永无止境，只有不断学习；此款app是一款非常经典的虚拟定位软件，可以说是同类中的佼佼者，我之前因为步道乐跑还付费用过好几次，确实不错，支持正版，此内容仅供交流学习，不提供任何破解成品；感谢大家支持，一起交流学习

-官方论坛

www.52pojie.cn

👆👆👆

原文始发于微信公众号（吾爱破解论坛）：【Android 原创】Fake Location 1.3.2.2专业版破解教程(虚拟定位软件)