xhs某书shield逆向破解(一) | 寻找Native函数

7,751次阅读
3 条评论

shield是小红书请求header中的一个加密参数,具体算法是在so中计算的,so文件是libshield.so。我这边主要就讲一下如何利用unidbg调用so生成shield参数。因篇幅可能较长,这篇文章就讲下如何找到Native函数和函数所对应的偏移位置。

一、寻找Native函数

老规矩,首先反编译apk后用JD-GUI工具打开(也可使用jadx等工具),直接搜索shield,结果意料之中,在java层没搜到什么有用的信息,算法大概率放在了so层。

那我们只能在so层中寻找突破口,这里推荐一位大佬开发的工具frida_hook_libart(项目地址:https://github.com/lasting-yang/frida_hook_libart),它是把在libart.so中的常用函数都进行了hook。

总共有三个hook文件hook_RegisterNatives.js、hook_art.js、hook_artmethod.js,我们先使用这个hook_art。

首先在手机上打开frida-server服务,电脑终端运行命令:“frida -U –no-pause -f com.xingin.xhs -l hook_art.js”。

xhs某书shield逆向破解(一) | 寻找Native函数

然后找啊找,会发现在NewStringUTF这个函数中,出现了shield结果。这里所对应的so文件是libshield.so 。

然后运行命令:“frida -U –no-pause -f com.xingin.xhs -l hook_RegisterNatives.js”,看一下在libshield里动态注册了哪些Native函数。

xhs某书shield逆向破解(一) | 寻找Native函数

可以看到,在so中,注册了initializeNative、intercept、initialize这几个函数。

然后在java层找下,可以找到在“com.xingin.shield.http.XhsHttpInterceptor”这个类下,如下图:

xhs某书shield逆向破解(一) | 寻找Native函数

二、寻找Native函数的偏移位置

方法一:

上文有使用Frida hook了so的RegisterNatives函数,hook到的同时,也打印出了函数的offset偏移位置。

xhs某书shield逆向破解(一) | 寻找Native函数

initializeNative函数的偏移位为:0x6c11d

intercept函数的偏移位为:0x6b9e9

initialize函数的偏移位为:0x6b801

方法二:

首先使用ida打开libshield.so文件,使用shift+F12打开String window窗口。

在窗口中直接搜索刚刚找到的Native函数,如intercept:

xhs某书shield逆向破解(一) | 寻找Native函数

然后点进去,就能找到这里

xhs某书shield逆向破解(一) | 寻找Native函数

intercept函数的偏移位就是0x6b9e9。

方法三:

同样使用ida打开libshield.so文件,在Exports窗口中找到JNI_OnLoad(动态注册的函数都会在JNI_OnLoad中进行注册),然后进去F5反汇编下。

xhs某书shield逆向破解(一) | 寻找Native函数

然后可以看到sub_9FA0这个函数,点进去。

xhs某书shield逆向破解(一) | 寻找Native函数

这边有很多函数,逐个进行查看,最终找到sub_6B360这个地方,点进去。

xhs某书shield逆向破解(一) | 寻找Native函数

可以看到java层的“com.xingin.shield.http.XhsHttpInterceptor”这个类,在点进去,就到了刚刚方法二中的这个位置,偏移位直接复制下就好。

xhs某书shield逆向破解(一) | 寻找Native函数
正文完
 1
评论(3 条评论)
2023-03-20 17:28:17 回复

是不是不行了大佬

    121
    2023-03-21 14:58:37 回复

    对,他这so文件都不一样了现在在xyass里面

      ttt
      2023-10-22 03:52:06 回复

      同上,有解决吗老哥