Android逆向----某CTF题

静态分析

将目标文件，安装至夜神模拟器，打开后界面如图：

应该是某年的ctf大赛题。

随便输入序列号，弹出如下错误提示：

用AK打开，搜索字符串 “错误”，发现并没有找到

转换为Unicode ，搜索可以找到字符串，得知改字符串，在a.smail文件中调用

反编译对应的java文件，我们发现，影响程序执行流程的函数为

check()

如下图:

继续搜索check()函数，可以发现在M.smail文件中定义

同理转到M.smail对应java文件，发现check函数的实现为以下代码：

public void check(String paramString)

{

int i = 0;

if (paramString.length() != 16) {

throw new RuntimeException();

}

try

{

str1 = getKey();

arrayOfInt = new int[16];

arrayOfInt[0] = 0;

arrayOfInt[12] = 14;

arrayOfInt[10] = 7;

arrayOfInt[14] = 15;

arrayOfInt[15] = 42;

arrayOfInt[1] = 3;

arrayOfInt[5] = 5;

}

catch (Exception localException1)

{

try

{

String str1;

System.out.println();

arrayOfInt[6] = 15;

arrayOfInt[2] = 13;

arrayOfInt[3] = 19;

arrayOfInt[11] = 68;

arrayOfInt[4] = 85;

arrayOfInt[13] = 5;

arrayOfInt[9] = 7;

arrayOfInt[7] = 78;

arrayOfInt[8] = 22;

if (i < paramString.length()) {

if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))

{

throw new RuntimeException();

localException1 = localException1;

String str2 = getKey();

System.arraycopy(str2, 0, paramString, 5, 5);

}

}

}

catch (Exception localException2)

{

for (;;)

{

int[] arrayOfInt;

arrayOfInt[5] = 37;

arrayOfInt[1] = 85;

continue;

i += 1;

}

}

}

}

我们现在对这个函数进行分析。

首先第一个判断为：

if (paramString.length() != 16) {

throw new RuntimeException();

}

//如果输入的字符串长度不是16，那么直接抛出一个异常， 我并不是很懂java

//我用IDEA新建一个工程，将该函数原型定义并调用该函数，发现如果长度不为16将直接退出

原以为程序都完try块，没有产生异常，是会走final或者继续往下走，可是单单给前边几个初始化，并不能完成16个字节的校验，而且下面只进行了一次判断就退出，难道不应该是循环吗？

动态分析

为了证明我的猜想，我进行了动态调试，发现程序确实走到了catch块

那么，我们继续往下分析，第二个判断

if (i < paramString.length()) {

if ((arrayOfInt[i] & 0xFF) != ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF))//如果这里不相等，那么又将抛出异常

{

throw new RuntimeException();

localException1 = localException1;

String str2 = getKey();

System.arraycopy(str2, 0, paramString, 5, 5);

}

}

}

相比于OD的动态调试来说，这个还是很简单的，因为Android Studio 界面太大，切图太占地方，我将注释写在了每一行的smali代码上面

对应的smali为：(详细分析已注释)

:goto_2

invoke-virtual {p1}, Ljava/lang/String;->length()I

//v3=16

move-result v3

//v1=i

if-ge v1, v3, :cond_2

//v2是之前填充的那个数组，不懂smail，应该是从数组v2中取出下标为v1的值给上v3

aget v3, v2, v1

//v3和0xff进行与操作

and-int/lit16 v3, v3, 0xff

//p1是我们输入的字符串，v1下标，

invoke-virtual {p1, v1}, Ljava/lang/String;->charAt(I)C

//把上边取出的数据给上v4=array[i]

move-result v4

//v0为 字符串 "bobdylan"

invoke-virtual {v0}, Ljava/lang/String;->length()I

//取出值给v5,v5=8("bobdylan"的长度)

move-result v5

//v5=i%8

rem-int v5, v1, v5

invoke-virtual {v0, v5}, Ljava/lang/String;->charAt(I)C

//取出字符串数组 v0下标为 i%8 的值

move-result v5

// v4=array[i]和 v0[i%8] 进行异或

xor-int/2addr v4, v5

//和0xff进行and操作

and-int/lit16 v4, v4, 0xff

//如果相等，调到cond_1 (该处为 i++后，跳转到goto2:),确实是一个循环

if-eq v3, v4, :cond_1

new-instance v0, Ljava/lang/RuntimeException;

invoke-direct {v0}, Ljava/lang/RuntimeException;->()V

throw v0

通过上述代码，我们可以得知

要想让代码正确，我们需要让下列条件满足

(arrayOfInt[i] & 0xFF) == ((paramString.charAt(i) ^ str1.charAt(i % str1.length())) & 0xFF)

我们先提取arrayOfInt数组，提取后的值为(C语言)：

int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };

str1，也就是密码表为

char cCode[] = "bobdylan";

整体逻辑 可以表述为以下C代码：

int nNum[] = { 00, 03, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42 };

char cCode[] = "bobdylan";

for (int i = 0; i < 16;i++)

{

//nNum[i]^

int nIndex = i % 8;

int nTmp = cCode[nIndex];

printf("%c", nNum[i] ^ nTmp);

}

打印结果为：blow,in the winD

尝试一波：

bingo!

(因为逆向安卓程序的经验并不多，错误之处，忘大佬们指正),不知道能不能发程序，所以有想要入手分析的小伙伴可以私信我

最后于 2019-6-18 08:14

被与时尽现。编辑

，原因：

上传的附件：

cake.rar

(1.60MB，86次下载)