// 反编译 tt.apk
java -jar apktool_2.5.0.jar d tt.apk -o test -f
// 回编译 apk
java -jar apktool_2.5.0.jar b test -o unsign.apk
// 对回编译的apk进行签名
java -jar ../Autosign/Auto-Sign/signapk.jar ../Autosign/Auto-Sign/testkey.x509.pem ../Autosign/Auto-Sign/testkey.pk8 unsign.apk signed.apk
这个时候打开apk 发现白屏, 屏幕一直都是白屏. apk没有挂.
adb shell 然后 logcat | grep com.tt.ttt 查看应用信息, 发现
?
?发现都是died fore top 这种提示信息, 于是搜索了一下?died fore top, 发现是内存泄露,一般是jni问题, 于是在jadx中全局搜索了一下 loadlibrary, 结果如下
?stringFog是这个app通用的字符串加密, 可以通过 frida hook 自调用查看so库名称,
不过在这个类下发现了一系列可疑的native函数,? 其中 validitySign 格外养眼
查看谁调用了这个函数
只有这一处, 不搞so, 尝试着smali中 删除这部分代码, 回编, apk正常运行.
上述方法一:? 修改smali把签名验证逻辑删除,搞定收工.
不过本着学习的态度, 可以继续看看so, validitySign这个函数是静态注册, 实现如下
进入这个验证函数内部看看
发现有一个比较操作, 当计算所得的签名与固定字符串比对相同时,则验证成功.
我们可以修改逻辑,把逻辑改成 =>? 当签名与固定字符串比对不同时,则验证成功
CBZ ? R0, loc_83BE
CBZ 指令是 compare branch zero , 当R0为0时,则跳转, R0存放的?c函数strcmp的结果
所以一种改法是将?CBZ 改为?CBNZ
推荐一个在线的arm <=> hex 转换站点??https://armconverter.com/
?CBZ ? R0, loc_83BE? 这条指令对应的hex 是00B3,?loc_83BE是函数相对于本条指令的偏移
? ?
?可以看到偏移是0x44, 然后紧接着arm to hex 试试, 发现是可以来回转换的?
然后将 cbz 改为 cbnz?
cbnz这条指令对应的机器码用16进制表示是 00BB
然后打开二进制修改工具, 找到对应的位置
将 837A 处的00B3?修改为 00BB, 然后回编, 发现程序正常运行.
?
上述方法二:? 修改so层代码逻辑,搞定收工, 回家收衣服.
仅限于学习交流, 侵删!!!!