删帖

Sean1994

删掉帖子

lm180180

一个改机案例
6月份拿到一个口碑不错的商业改机案例，该案例只能运行在指定的手机，指定的rom，号称各大app无法检测，免root的改机框架。


我手上只有nexus6p，安装到手机上跑了一下，瞬间闪退，没有任何崩溃日志。但是这条日志出卖了它：



这明显是调用System.exit(0)主动退出。

静态分析



通过图片可以看到dex被混淆，字符串也被加密

解密字符串重打包
字符串解密往往是固定的smali格式：

    const-string vX, "加密后的字符串"
    invoke-static {vX}, Lcom/test/decString(Ljava/lang/String;)Ljava/lang/String;
    move-result-object vX
这个案例也不例外，所以编写一个脚本去匹配以上代码，然后调用解密代码（自己去源码里扣）解密字符串，然后把解密之后的字符串替换加密的字符串，然后再删除const-string vX, "解密之后字符串"以下两条指令，然后重打包即可（各位大佬若有更好的方案请告知）。当然我这里还加上了hook系统签名校验：

    private void hook(Context context) {
        try {
            DataInputStream is = new DataInputStream(new ByteArrayInputStream(Base64.decode(oriSign, 0)));
            byte[][] sign2 = new byte[(is.read() & 255)][];
            for (int i = 0; i < sign2.length; i++) {
                sign2[i] = new byte[is.readInt()];
                is.readFully(sign2[i]);
            }
            Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
            Object currentActivityThread = activityThreadClass.getDeclaredMethod("currentActivityThread", new Class[0]).invoke(null, new Object[0]);
            Field sPackageManagerField = activityThreadClass.getDeclaredField("sPackageManager");
            sPackageManagerField.setAccessible(true);
            Object sPackageManager = sPackageManagerField.get(currentActivityThread);
            Class<?> iPackageManagerInterface = Class.forName("android.content.pm.IPackageManager");
            this.base = sPackageManager;
            this.sign = sign2;
            this.appPkgName = context.getPackageName();
            Object proxy = Proxy.newProxyInstance(iPackageManagerInterface.getClassLoader(), new Class[]{iPackageManagerInterface}, this);
            sPackageManagerField.set(currentActivityThread, proxy);
            PackageManager pm = context.getPackageManager();
            Field mPmField = pm.getClass().getDeclaredField("mPM");
            mPmField.setAccessible(true);
            mPmField.set(pm, proxy);
            Log.i(TAG,"PmsHook success.");
        } catch (Exception e) {
            Log.e(TAG,"PmsHook failed.");
            e.printStackTrace();
        }
    }
这是jadx反混淆和解密字符串之后的效果，这下代码阅读性高了很多：


过授权、签名校验、系统认证、登录
这是一个厮杀的过程，本案例检验之处有非常多，so中也存在字符串加密和检验。当然这不是本篇文章重点，具体厮杀过程就不过多赘述。最后庐山真面目出现了：（手动打码）。

新机原理
绝杀技一：免root Hook
此案例通过编译xposed源码并且修改特征码，把Xposed相关名称改为系统名称，例如camera、email、phone。然后hook堆栈信息，把hook框架的堆栈过滤掉。然后把改名字的xposed集成至LineageOs源码中。然后通过魔改后的XposedBridge.jar编写Hook模块，这样就实现了免root集成hook框架。这样子真的可以为所欲为。

绝杀技二：全面Hook Android设备信息接口
这个不用多说，全面的Hook了java层所有获取设备信息的有关函数，包括文件读取的io重定向，附件中是我整理的Hook相关接口。

绝杀技三：伪造真实用户活动
各大厂商都在做风控，IP画像、设备画像、用户画像、手机号画像...,没用用户行为的设备，必然是非正常用户，肯定是过不了风控的，通过hook相关接口，每次新机填充不同的短信，通话记录，联系人，照片，启动时间，周边蓝牙、wifi，sensor的值随机化...

绝杀技四：基站、gps、ip位置一致
目前获取位置信息主要有基站、gps、ip位置，三个维度。改机必然是通过链接代理（vpn）来生成不同ip，这里就要保证每次基站和gps的位置要和IP的位置信息相差不大，这样每次新机都是一个新的地理位置。

绝杀技五：SysPropertyHook
Xposed只是java层的Hook，现在大多数设备指纹sdk都是native获取或者native和java层都获取，然后进行对比。这里通过Hook SystemProperties.set、Settings.System.put、Settings.Secure.put、Settings.Global.put。保证改机后/system/build.porp、System.xml、Secure.xml、Global.xml文件真实改变,保证native层通过getProp时候和java层获取的是一致的

新机流程
准备新机设备信息PhoneInfo
通过读取/assets目录下的设备信息集，随机生成一个设备信息，然后通过当前ip获取基带和gps的位置，并且生成用户信息。把这些信息全部写入到sdcard中的phoneInfo.json中。

完成Hook
通过读取sdcard中的phoneInfo.json的设备信息完成Hook，自此新机已经完成。

众生之主

萌新表示很高深

小小小小

虽然看不懂在说些什么，不过感觉很厉害的样子

xiaoxin13570

为什么有的软件有使用次数限制，我用应用变量  就可以变成新安装的应用，继续使用。
有的应用 用应用变量就不可以无限试用啊？ 试用次数用完就是用完了。

QuentinX

有点意思，收藏了

一人之下123456

试着理解了一下，但还是难以看懂

梦在彼岸

支持下有创造力的楼主，看不懂，先收藏了

kushideye

ios换机到安卓的时候只有通讯录什么的，不过程序架构不一样，全息备份到新机也的确不太可能

luochunyan

谢谢分享，学习了

cwz

感觉很厉害