前言
前段时间拿到了弘连的取证实录杂志,看到了里面有关于APP取证的,对其中一个常用地址的取证解密分析进行了一下复现,非常感谢弘连公司高质量的文章。
参考文献:<<取证实录>>
相关文章:
Frida
达达,公众号:Th0r安全FO-HOOK取证实战数据库解密
安卓
达达,公众号:Th0r安全Android逆向之smali
正文
这篇主要的难点应该是在于需要花时间发现这个XML文件中的这个字段,剩余的就是不断的往上追踪和hook,但是发现的部分作者已经找出来了,所以之后的比较套路常规。
用scrcpy显示真机
下载软件,注册账号,绑定常用地址
打开文件管理器,根据时间查看改变时间,之后在XML中找到关键字段
这时候解码出来是乱码,需要去跟踪代码,搜索关键词
继续跟踪mo66949d
继续跟进,发现是native
打开ida搜索相关
跟进CBC
然后初步假设AES_set_decrypt_key的第一个参数是key,AES_cbc_encrypt的第五个参数是IV,CryptoCore::cbcEncrypt是0x5A1C0
这里就可以写出frida的hook脚本了
通过点击该功能触发hook
这时候去解密验证一下
原文始发于微信公众号(Th0r安全):针对某APP常用地址取证解密
