针对某APP常用地址取证解密

前言

前段时间拿到了弘连的取证实录杂志,看到了里面有关于APP取证的,对其中一个常用地址的取证解密分析进行了一下复现,非常感谢弘连公司高质量的文章。

参考文献:<<取证实录>>

相关文章:

Frida

达达,公众号:Th0r安全FO-HOOK取证实战数据库解密

安卓

达达,公众号:Th0r安全Android逆向之smali

正文

这篇主要的难点应该是在于需要花时间发现这个XML文件中的这个字段,剩余的就是不断的往上追踪和hook,但是发现的部分作者已经找出来了,所以之后的比较套路常规。

用scrcpy显示真机

针对某APP常用地址取证解密

下载软件,注册账号,绑定常用地址

针对某APP常用地址取证解密

打开文件管理器,根据时间查看改变时间,之后在XML中找到关键字段

针对某APP常用地址取证解密


针对某APP常用地址取证解密

这时候解码出来是乱码,需要去跟踪代码,搜索关键词

针对某APP常用地址取证解密

针对某APP常用地址取证解密

针对某APP常用地址取证解密

继续跟踪mo66949d

针对某APP常用地址取证解密

继续跟进,发现是native

针对某APP常用地址取证解密

打开ida搜索相关

针对某APP常用地址取证解密

跟进CBC

针对某APP常用地址取证解密

然后初步假设AES_set_decrypt_key的第一个参数是key,AES_cbc_encrypt的第五个参数是IV,CryptoCore::cbcEncrypt是0x5A1C0

针对某APP常用地址取证解密

这里就可以写出frida的hook脚本了

针对某APP常用地址取证解密

通过点击该功能触发hook

针对某APP常用地址取证解密

这时候去解密验证一下

针对某APP常用地址取证解密


原文始发于微信公众号(Th0r安全):针对某APP常用地址取证解密

版权声明:admin 发表于 2022年11月15日 上午7:53。
转载请注明:针对某APP常用地址取证解密 | CTF导航

相关文章

暂无评论

暂无评论...