Xposed數(shù)據(jù)采集實例分析

這篇文章主要介紹了Xposed數(shù)據(jù)采集實例分析的相關(guān)知識，內(nèi)容詳細(xì)易懂，操作簡單快捷，具有一定借鑒價值，相信大家閱讀完這篇Xposed數(shù)據(jù)采集實例分析文章都會有所收獲，下面我們一起來看看吧。

數(shù)據(jù)采集教程，一例APK脫殼反編譯尋找AES密鑰過程記錄

應(yīng)客戶需求對一款名為“**主治醫(yī)師總題庫”包名為com.zitibaohe.zhuzhiyishierke）的APP進行采集可行性分析。<br>  這款A(yù)PP和服務(wù)器的通信使用的是HTTP協(xié)議，很容易抓到數(shù)據(jù)包，可惜返回的數(shù)據(jù)是加密的，如下圖所示。<br>

根據(jù)以往經(jīng)驗，內(nèi)容應(yīng)該是被AES加密了。要想還原出明文，必須要反編譯拿到KEY才行。

下載APK文件，用JADX對其進行反編譯，發(fā)現(xiàn)被加殼了，使用的是360的加殼工具，如下圖所示。

必須先脫殼才能反編譯到真實的APK源碼。脫殼我們使用Xposed + FDex2插件（PS：如果你對Xposed還不熟悉，建議先閱讀Xposed相關(guān)文章）。<br>  安裝好FDex2插件(不要忘了重啟系統(tǒng))，啟動插件，點選要脫殼的APP，如下圖所示。

然后啟動目標(biāo)APP（兒科主治醫(yī)師總題庫）。使用Root Explorer瀏覽到APP的數(shù)據(jù)目錄（/data/data/com.zitibaohe.zhuzhiyishierke/）下，如果看到多個dex文件（原本該目錄下沒有這些文件，如下圖所示），說明脫殼成功了。

 將這幾個dex文件pull下來，然后依次用JADX對其進行反編譯。由于有多個dex，怎么快速定位我們關(guān)注的代碼在哪一個里呢？我們可以搜一些特征字符串，比如前面抓包看到的請求URL中的個“questions”，如果找到了，說明八成就是這個dex文件（如下圖所示）。<br><br>  然后我們再搜索AES相關(guān)的關(guān)鍵詞比如“AES/”,"SecretKeySpec"或“IvParameterSpec”，最終成功定位（如下圖所示），其使用了"AES/CBC/NoPadding"加密算法，對應(yīng)的KEY和IV都是明文的。<br>

我們來驗證下KEY和IV是否正確。借助“AES Online”(http://aes.online-domain-tools.com/)這個在線工具，選擇對應(yīng)的加密算法，輸入密文、KEY、IV（如下圖所示）。<br>

然后點擊"Decrypt"，成功還原出明文（如下圖所示）。點擊“[Download as a binary file]”下載解密后的數(shù)據(jù)文件，發(fā)現(xiàn)內(nèi)容是JSON格式的，解析之后如下圖所示。<br>

至此，目標(biāo)實現(xiàn)。<br>  除了上述通過反編譯源碼來獲取秘鑰外（過程很繁瑣），我們還可以利用Xposed的方式（你需要先了解Xposed相關(guān)知識），通過HOOK javax.crypto.spec.SecretKeySpec和javax.crypto.spec.IvParameterSpec類來截獲KEY和IV，操作過程簡單，下面介紹兩個相關(guān)插件。<br>1.使用Inspeckage（https://github.com/ac-pm/Inspeckage）這個Android動態(tài)分析工具。如下圖所示是Inspeckage截獲到的AES的KEY，與我們上面通過源碼獲取到的一致（不過沒有獲取的IV，原因未知）。

2.我還測了一個叫做CryptoFucker的Xposed插件（https://github.com/Chenyuxin/CryptoFucker），用起來雖然沒有Inspeckage方便(沒有UI)，不過，效果很好，成功獲取到了KEY和IV，如下圖所示（HEX形式顯示）。<br>

關(guān)于“Xposed數(shù)據(jù)采集實例分析”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對“Xposed數(shù)據(jù)采集實例分析”知識都有一定的了解，大家如果還想學(xué)習(xí)更多知識，歡迎關(guān)注億速云行業(yè)資訊頻道。