之前写过一篇某款app协议的简单分析的文章，前一段时间有人说他们的协议更新了，所以抽出时间来学习一下。

一、准备工作

1、抓包

第一步还是抓包，通过对比我们发现，在请求字段中新出现了一个newSign的字段，并且原来的sign也不是每次都会变化了。所以说明确实做了协议的更新。

2、定位代码

通过sign和newSign关键字，可以轻松定位到代码。先来看newSign值，就是一堆key-value的值，日志中很明显的用了StringToSign来标明要加密的字符串，最后就是md5和AES加密了。

但是这里的AES加密放在native层去做了，需要后面进一步的分析。

至于sign值的计算很简单，跟之前一样，就不赘述了。

二、协议分析

1、代码插桩

为了更清晰的看到加密前后的输出，在这里手动插入了log。方法是构造一个log类，然后在需要的地方直接调用该方法。smali代码如下：

通过插桩，记录了几条值，一会儿要用这几条数据做验证。

2、Frida Hook

其实通过Frida也可以实现打印这几条记录的值，而且比代码插桩更方便一些。encode是导出函数，可以直接调用。我们hook函数并打印输入和输出值，就是加密前后的值了。

3、so分析

打开so文件，发现so没有加密混淆，方法名也很容易判别。直接定位到encode函数。

知道采用了AES_128_ECB_PKCS5Padding加密方式，还需要一个秘钥，在j_getKey方法中做了一些加密操作来隐藏key值。因为啃不动汇编代码，也不打算仔细看其中的细节，所以决定采用动态调试的方法来得到key。

这里可以简化一下，我们新建一个demo工程，把so文件拷贝到工程目录下。

这里需要注意的下就是，采取了动态注册的方式，我们把java类拷贝过来时需要创建同样的路径名称。

然后我们就可以调式自己的app了。

4、Android 动态调试

4.1 开启android_server，监听23946端口

先给android_server授权

$ adb shell /data/local/tmp/android_server

4.2 本地端口转发

$ adb forward tcp:23946 tcp:23946

4.3 调试模式启动程序

$ adb shell am start -D -n packageName/launchActivity

4.4 Debugger->attach->Remote ARMLinux/Android debugger

4.5 选择调试进程

4.6 Debugger option选项勾选，F9运行调试程序

4.7 等待调试jdb连接

如果提示无法附加到目标 VM，可以尝试关闭掉Android studio，然后手动设置一下对应的端口进程。

$ adb shell ps | grep "包名"
$ adb -d forward tcp:8700 jdwp:进程号

4.8 下断点

4.9 IDA动态调试

我们在j_AES_128_ECB_PKCS5Padding_Encrypt下个断点，已知参数分别是要加密的字符串和秘钥。运行程序至断点位置，从R0寄存器可以看到就是我们要加密的字符串

而R1的值则是我们需要的秘钥。

其他值也可以通过调试拿到。

三、验证

拿到了我们需要的数据后，就可以开始简单的验证了。找一个在线加密的地址，用原始的字符串和key进行加密。

并将加密结果md5，得到“fde85ed3d5bce52db74cf300f9700504”。

对比一下抓包结果，加密值完全一致，说明没有进行其他额外的加密了。

所以至此我们已经知道了一切。

四、学习实践总结

1、Charles抓包

HTTP/HTTPS抓包，高版本Android利用vpn转发到代理，以解决不能抓HTTPS的问题

2、反编译

关键代码可以通过smali查看

3、插桩

通过修改smali文件，可以输出指定的日志信息，增加弹窗Toast等等

4、Native Hook

Frida的使用，本次分析中，就用到了Frida来hook native函数，观察加密前后的结果。遇到难点是frida hook jstring类型的参数时，打印字符串的问题（已解决，类型转换）。

5、so文件的分析

依然看不懂汇编代码

6、移花接木

将目标的so文件，移植到自己的demo中，方便调试调用。

7、利用IDA动态调试so

成功拿到key，修改了校验函数的返回值。