android逆向笔记 -- 记一次解决飞天助手未知模拟器方法

none

咕鸽框架 更新2020年07月10日 117 4713字 CID:P16

0x0 前言

原来一直使用的飞天助手突然限制了模拟器, 美其名曰: "第三方模拟器盗用数据"云云, 谁不知道其实是想引流. 虽然无可厚非, 但是推荐的模拟器实在是太难用了, 于是修改下成为所有模拟器通用

在这里插入图片描述

0x1 逻辑分析

首先, 此界面并不是开始就直接显示, 而是点击运行脚本后再显示, 如果从程序入口来分析将很麻烦, 于是我打算追查是什么启动了此activity

首先检查此activity的包名, 使用adb链接模拟器adb connect 127.0.0.1:5555, 注意, 每个模拟器的端口都不一样, 用之前检查下

然后使用命令adb shell dumpsys activity | findstr "mResumed"查看最上层包名, 结果为****/ui.activity.AdActivity

在这里插入图片描述

0x2 检查逻辑

这里我是用Android Killer进行分析, 加载此脚本, 查看activity, 发现所有的Activity和Service都是灰色的, 这主要是因为新版Android在打包时会分开储存dex, 而android killer的确有点老了, 只会识别第一个dex我用的ak已经魔改过了, 其实其他dex已经反编译, 自己找找即可

在这里插入图片描述

首先寻找AdActivity, 发现位于smali_classes3/ui/activity下, 查看其Java代码

发现一个公共静态方法public static void startAdActivity, 很明显这个函数就是启动广告的关键, 使用搜索检测是哪里调用了这个方法

在这里插入图片描述

在Android Killer里搜索startAdActivity, 发现一共有两处
在这里插入图片描述

首先看下面一个, 阅读smail源码, 可以看见startAdActivity(context, this.mAdTitle, this.mWebPath) 随后finish(), 最后 return-void

在这里插入图片描述

上面一个可以看见startAdActivity(context, "", ScriptCommandBean.getDLPlatformPrompt()) , 从英文上可以明显怀疑为在此检测模拟器, 查看Java代码
在这里插入图片描述

可以看见对比paramBaseBeanNew.getData()).getDLPlatformPrompt()为0的时候, 代表检测模拟器通过

首先是发现关键词RetrofitApiManager, 可以知道用的是Retrofit, 寻找对应的apiNormalSwitch(DLPlatformPrompt), 发现请求网址API

在这里插入图片描述

在这里插入图片描述

可以拿到检测网站http://api.aistool.com/ftzs/system/getAll?paramKey=DLPlatformPrompt
使用Postman进行访问, 发现结果
在这里插入图片描述

其中http://lander.gc.com.cn/~preview/cn/campaign/ftldy.htm就是看到的那个未知模拟器的网站
现在怀疑, 是否通过Header进行检测模拟器? 但是检查okhttp后并没有发现header, 于是我选择抓包进行验证

首先使用"未知模拟器", 抓包结果如图, 并没有Header

在这里插入图片描述
然后使用遁地模拟器, 发现根本没有这个请求, 说明这步并不是检测模拟器的核心,, 而是获取模拟器广告的地方, 这里应该为一个开关如果返回的广告不为地址而为0, 说明不限制其他模拟器, 这里可以作为一个破解点, 即使其返回0, 但是我想看看其检测模拟器的原理, 于是继续追踪checkDeviceApi

在这里插入图片描述

由于JD没法正确解析, 只能读smali源码里, 下面是翻译的伪代码

private boolean mIsRfOrDD
this.mIsRfOrDD = TfloatHelp.isPass()
if (this.mIsRfOrDD) {
    startRunScript()
} else {
    if (android.os.Build.VERSION.SDK_INT != 0x13) {
        checkDeviceApi()
    }
}

追踪isPass(), 发现ui.util.DundiUtils.isDunDi(), 发现是通过shell getprop ro.hardware里是否有遁地进行判断的, 进行测试

在这里插入图片描述

雷电模拟器:

在这里插入图片描述

遁地模拟器:

在这里插入图片描述

如何检测遁地模拟器到此明白了

0x3 解除限制

现在解除限制的方法很多

  • 修改checkDeviceApi(), 将返回的广告改为0, 如果为0说明不做限制, 脚本照样能启动
  • 修改isPass(), 让其检测自己为遁地模拟器

这里我选择第二种
Lapp/ais/dev/TFloatWinService.smali 7106

在这里插入图片描述

在这里, 将if-nez v0, :cond_2改为goto :cond_2, 于是代码变成

private boolean mIsRfOrDD
this.mIsRfOrDD = TfloatHelp.isPass()
if (true) {
   startRunScript()
} else {
   if (android.os.Build.VERSION.SDK_INT != 0x13) {
       checkDeviceApi()
   }
}

保存后回编译, 安装到模拟器内, 限制已被解除

在这里插入图片描述

在这里插入图片描述

版权声明:
本文基于《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
文章链接:http://blog.z31.xyz/index.php/archives/16/ (转载时请注明本文出处及文章链接)

评论