分析快手__NS_sig3参数算法分析研究学习过程
最近要做一些数据分析,所以来研究一下快手的sig3参数的来源!
sig3参数的定位 入口
1、Jni_Onload 定位doCommandNative函数位置
RegisterNatives函数位于sub_88F4中。!
文章图片
文章图片
文章图片
sub_c060为doCommandNative.
初探sub_c060函数.
起初看到sub_c060函数时头皮发麻,ollvm混淆的太乱太美观,导致ida f5都巨慢,查找交叉引用,结合frida一步步的确定目标函数。sub_c060->sub_26BB8->sub_3AE54->sub_3AAF8->sub_3F920->sub_3E550.
hook sub_3E550函数看结果.
使用frida hook该函数,结果如下:
文章图片
抓包的结果如下:
文章图片
可以看到sub_3E550函数的返回值是sig3算法部分结果,并且该函数调用了两次,第一次是要加密的内容,第二次是一个base64的值。下一步开始还原该算法。
4、sub_3E550函数还原
sub_3e550函数部分片段如下:
文章图片
点击dword_9e338查看
文章图片
很明显这是sha256算法的常量表,该函数是sha256的变形。话不多说,开始调试。
用肉丝姐的反调试rom直接附加,成功断下。
文章图片
开始愉快的trace之旅。
通过框选区域发现,a3是来自a2.a方法,且str2通过上方代码得知是sig签名结果,b2是一个url,但是执行了b()可能进行了一些处理,这里暂时先不管b2数据是什么,先最终到最终a调用的地方。
文章图片
最后根据trace文件成功还原该算法。
文章图片
除了ida trace之外还可以使用unicorn进行trace,个人认为unicorn trace的结果要比ida trace的结果好分析一些。
继续跟进
文章图片
5、sub_3FDA4 算法还原。
frida hook sub_3fda4结果如下:
文章图片
可以看到,经过sha256算法的返回值在经过这个函数,把sub_3FDA4 函数的结果在经过base64之后在进行base64就是sig3算法的部分值。同样,trace之后进行还原。
文章图片
文章图片
这两个位置的值,是读取图片的数据之后加密获得的,具体没去跟,因为同一个版本这个值不会变所以dump出数据就行,有兴趣的可以去跟下。至此sig3算法的部分还原完成。
6、剩余部分算法还原。
sig3后面的部分已经还原,但前面部分并没有, 经过一系列的查找,确定算法位置为sub_24404
文章图片
与当前时间戳异或一个值后进行进行加密。
【分析快手__NS_sig3参数算法分析研究学习过程】3、算法验证
看下图 python源码 运行结果
计算sig3
文章图片
计算sig 参数这个比较简单。
文章图片
然后使用fiddler模拟请求成功,出数据!大功告成,至此 sig3和sig已经全部搞定转了python源码。
文章图片
花了大把时间和精力已经转了java和python源码。一起交流学习吧
推荐阅读
- 如何寻找情感问答App的分析切入点
- D13|D13 张贇 Banner分析
- 自媒体形势分析
- 2020-12(完成事项)
- Android事件传递源码分析
- Python数据分析(一)(Matplotlib使用)
- 泽宇读书会——如何阅读一本书笔记
- Java内存泄漏分析系列之二(jstack生成的Thread|Java内存泄漏分析系列之二:jstack生成的Thread Dump日志结构解析)
- ffmpeg源码分析01(结构体)
- 关于两种潜能生的性格分析