李跳跳使用、逆向、脱壳和原理介绍

前言

你可以独善其身 但你不能兼济天下

简介

其实这部分是使用教程,github上面有备份的下载链接,只是可能不更新了,V2.2安装之后
100a1565ff1581ce70cfe9290ab015d.jpg
一把快刀,很简洁的界面
6105fa532260202636383961fc9538c.jpg
点击界面里面的开启按钮即可,我这里就是在无障碍里面设置了
9c72d6b41ab06a6033cf82cb5815f15.jpg
现在打开淘宝京东之后就只会看到一闪而过或者没有开屏广告的情况了

反编译

转成jar
image.png
代码如下
image.png
解压APK之后目录为
image.png
蒽....还有lib库和kotlin文件,怎么还有JNI编程啊~
res文件夹里面的文件直接乱成一堆了,反编译问题
image.png
考虑换一个工具来修复静态文件 apktool
image.png
然后就得到了正常的 res,终于整洁了一点orz
image.png
源代码的话还是看从 jd-gui 解析出来的吧 各部分比较完整
结果发现进行了加固,其实我之前是没有脱加固APK的经验的,为啥发现了加固 是因为我把代码放到自己的Android工程之后看了半天没看懂,感觉就是实现了一个类加载器
image.png
主工程代码就只是去继承 WrapperProxyApplication 抽象类,给我整不会了,我以为这是什么高端写法
主工程还原为

public class MyWrapperProxyApplication extends WrapperProxyApplication {
    protected void initProxyApplication(Context paramContext) {
        String str = (paramContext.getApplicationInfo()).sourceDir;
        ZipFile zipFile = null;
        try {
            ZipFile zipFile1 = new ZipFile(str);
            zipFile = zipFile1;
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        if (zipFile == null) {
            Process.killProcess(Process.myPid());
            System.exit(0);
        }
        Util.PrepareSecurefiles(paramContext, zipFile);
        try {
            zipFile.close();
        } catch (IOException iOException) {
            iOException.printStackTrace();
        }
        System.loadLibrary(Util.libname);
    }

    public void onCreate() {
        super.onCreate();
    }
}

然后我觉得这个类加载器可能是一个公用库 结果就
image.png
原来是腾讯的,还是逆向APK的经验太少了orz
为什么李跳跳要加壳,应该也是为了防止应用商店或者手机厂商那批人通过特征检测到APK然后报毒
为了防止我自己看错 用工具检测一下 结果PKID居然检测不出来,额
image.png
打开MT管理器

可以看到确实腾讯御安全

判断加壳

手动判断是腾讯御安全加壳的特征有三种方式

step1

将APK解压缩
image.png

step2 特征一

根目录下存在 tencent_stub 文件
image.png

step3 特征二

assets目录存在

  • 0OO00l111l1l
  • o0oooOO0ooOo.dat
  • t86
  • tosversion

image.png

step4 特征三

lib文件夹下存在

  • libshell-super.2019.so
  • libshella-x.so (x代表版本)

image.png

MT脱壳

查了一下资料怎么都需要用MT管理器~
MT管理器使用文档

https://mt2.cn/guide/

adb 安装到测试机上面
image.png
运行之
image.png
接下来安装李跳跳
image.png
在MT管理器里面安装包提取寻找李跳跳
image.png
可以看到确实是使用腾讯御安全进行加壳的
image.png
点击dex选择dex++
image.png
找到这个东西
image.png
复制包名
image.png
粘贴到 AndroidManifest.xml 里面,保存
用blackdex脱dex的壳
image.png
然后到MT管理器 ,右边是已脱的
image.png
删除左边的classes.dex,把右边的移过去,然后保存
已经实现了脱壳
image.png
最后安装不上 orz ,流泪了
image.png
难道是我工具用的有问题~

frida

只好掏出大杀器 frida 了

frida是平台原生app的Greasemonkey,说的专业一点,就是一种动态插桩工具,可以插入一些代码到原生app的内存空间去,(动态地监视和修改其行为),这些原生平台可以是Win、Mac、Linux、Android或者iOS。而且frida还是开源的

Frida官网:https://www.frida.re/
Frida源码:https://github.com/frida

安装frida

windows安装客户端

pip3 install frida

image.png

安装frida-tools

pip3 install frida-tools

image.png
安装 frida-dexdump

pip3 install frida-dexdump

安装成功

frida --version

image.png

安卓安装frida服务端

查看Android手机的cpu架构

adb shell getprop ro.product.cpu.abi

image.png
根据CPU版本下载对应的Frida server https://github.com/frida/frida/releases
image.png
下载解压推到手机目录下
image.png
设置端口转发

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

image.png
设置权限并运行

chmod 777 frida-server64
./frida-server64

image.png
出现报错

./frida-server64

查看当前是否关闭了SELINUX

getenforce

确实开着的
image.png

setenforce 0

关闭selinux,运行frida-server
然后重新打开一个shell查看是否存在
image.png
运行成功

frida升级

pip3 install -U frida
pip3 install -U frida-tools

frida脱壳

手机上打开需要脱壳的软件
image.png
adb shell启动frida-server
image.png
如果你跟我一样配置了python script的环境变量,那就可以直接在命令行启动frida-dexdump
image.png
输入命令 frida-dexdump -FU,如下图(参数说明,参数 U 是usb,参数 F是前台活动app)
image.png
得到脱壳的dex文件
image.png
检查之后发现是classes.dex为源dex文件

还原APK

脱壳之后对APK进行还原
用baksmali工具,把dex转换成smali

java -jar baksmali.jar d classes.dex

image.png
用 apktool d ./com.xxx.mobile.apk,反编译,得到加固的apk解压包
image.png
替换 smali 文件夹,用前面的 smali 文件夹替换掉 解压包中的 smali,替换
image.png
打开原文件的dex,找到com/wrapper/proxyapplication/WrapperProxyApplication
进去复制入口后到AndroidManifest.xml中替换入口
这里是原本的AndroidManifest.xml
image.png
入口我直接用MT管理器看吧
image.png
我们需要替换成 hello.litiaotiao.app.LttApp
image.png
然后删除腾讯加固的相关文件,一般在assets、lib目录下
也就是我们前面说的那些特征

  • tencent_stub
  • tosversion
  • 0OO00l111l1l
  • o0oooOO0ooOo
  • 文件名带有shell的

用 apktool b com.xxx.mobile 编译apk
最后就是使用AndroidKiller进行重打包
image.png
打包完成进行安装即可
结果还是安装不了
image.png
菜是原罪~

原理

利用安卓系统的无障碍权限,帮助用户自动点击广告上的跳过按钮

关于无障碍服务

AccessibilityService(无障碍服务)是 Android 操作系统中的一个功能,旨在帮助用户具有视觉、听觉或运动上的障碍更轻松地使用设备。它是 Android 提供的一种特殊服务,可以接收设备上发生的各种事件,并提供自定义的反馈或处理方式。

AccessibilityService 可以在用户界面上监控和操作应用程序,并为用户提供额外的辅助功能。它可以接收系统级别的事件,如按键、触摸、通知等,还可以访问应用程序的视图层次结构,以便分析和操作应用程序的界面元素

李跳跳的广告跳过包含了两个部分

  • 开屏广告跳过
  • 应用内弹窗跳过

开屏广告跳过

有一个简单的规则 也就是字符串 跳过
逆向李跳跳的源代码查看规则
hashSet里面存储了一些关键字
image.png
另外还有在文件内部的 2131755075 位置 ,转成十六进制是 7F100043
image.png
可以看出这里的hashSet里面装的就是开屏跳过的关键字
image.png
但是这里有两个是从文件读取的,转换一下可以在public.xml里面找到
image.png
在李跳跳掘金的主页中可以找到答案
image.png
所以这里是用户自己导入的规则,这里我们直接把这几个跳过的关键字都加到我们的逻辑里面,以后遇到了其他的再处理
翻翻xml文件里面还发现有一个白名单列表
image.png
应该是为了节省内存进行了一次包名判断
所以对于开屏广告的检测核心是

@Override
public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
    onAccessibilityEventPre();
    AccessibilityNodeInfo source = accessibilityEvent.getSource();
    if (source == null)
        return;

    // 判断是否开启了检测
    if (!mMKV.decodeBool(SWITCHMAIN_KEY))
        return;

    CharSequence packageName = accessibilityEvent.getPackageName();
    if (packageName == null)
        return ;
    String currentPackageName = packageName.toString();

    // 读取白名单数组
    String[] whiteListArray = getResources().getStringArray(R.array.whitelist);
    List<String> whiteList = Arrays.asList(whiteListArray);

    if (whiteList.contains(currentPackageName)) {
        return; // 如果是白名单内的包名,则不执行后续的检测逻辑
    }

    for (int i = 0; i < source.getChildCount(); i++) {
        AccessibilityNodeInfo childNode = source.getChild(i);
        if (childNode.getText() == null) {
            continue;
        }

        String text = childNode.getText().toString();

        for (String keyword : keywords) {
            if (text.contains(keyword)) {
                Log.i(TAG, "检测到开屏广告关键字:" + keyword);
                childNode.performAction(AccessibilityNodeInfo.ACTION_CLICK);
                Toast.makeText(this, SKIP_PROMPT, Toast.LENGTH_LONG).show();
                break;
            }
        }
    }
}

往 AndroidManifest(清单文件)上配置:

<service android:exported="false" android:label="♥张得乖1.0" android:name="hello.beautifulz.app.ZdgService" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE">
    <intent-filter>
        <action android:name="android.accessibilityservice.AccessibilityService"/>
    </intent-filter>
    <meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
</service>

label是这个无障碍服务的名称
serviceconfig 配置文件如下

<?xml version="1.0" encoding="utf-8"?>
<accessibility-service android:description="@string/accessibility_service_description" android:settingsActivity="hello.beautifulz.app.MainActivity" android:accessibilityEventTypes="typeAllMask" android:accessibilityFeedbackType="feedbackGeneric" android:notificationTimeout="100" android:accessibilityFlags="flagDefault" android:canRetrieveWindowContent="true" android:canPerformGestures="true" android:isAccessibilityTool="true"
  xmlns:android="http://schemas.android.com/apk/res/android" />

应用内弹窗跳过

第二种是应用内的弹窗规则
image.png
关于这一点在 https://github.com/Snoopy1866/LiTiaotiao-Custom-Rules 上面有相关规则
image.png
跳过应用内的弹窗需要自己编写解析规则的框架,类似于下面这种

public class MyAccessibilityService extends AccessibilityService {

    @Override
    public void onAccessibilityEvent(AccessibilityEvent accessibilityEvent) {
        // 获取弹窗内容
        CharSequence popupContent = accessibilityEvent.getText();
        if (popupContent != null) {
            String popupText = popupContent.toString();

            // 调用规则匹配函数
            boolean matched = checkPopupRules(popupText);

            if (matched) {
                // 执行关闭弹窗的操作,例如执行返回键动作
                performGlobalAction(GLOBAL_ACTION_BACK);
            }
        }
    }

    private boolean checkPopupRules(String popupText) {
        // 将规则字符串解析为规则对象,可以使用 JSON 或其他格式进行解析
        // 这里假设规则已经解析为 Rule 对象

        Rule rule = new Rule("+检测到&-用户体验", "=以后再说");

        // 进行规则匹配判断
        if (popupText.startsWith(rule.getKeywordStart()) &&
            popupText.endsWith(rule.getKeywordEnd())) {
            if (rule.getAction().equals("=以后再说")) {
                return true;
            }
        }

        return false;
    }

    // 其他回调方法...

}

这个暂时作为保留节目吧~

后台保活

APP的后台保活是一门智慧~为了让APP一直在后台运行来跳过广告,我们需要让它不被系统杀死
无障碍服务本身权限就很大,借助无障碍服务我们来实现强力保活,可以从以下几个方向入手:

  • 前台服务保活
  • 申请REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 忽略电池优化开关
  • 开启自启动无障碍服务

这里就不再详细说明了

效果

最后实现的小demo可以说是李跳跳的闺蜜了
image.png
把里面的很多地方都裁剪了,只留下了开启广告跳过的按钮
image.png
这个时候再打开知乎就可以看到有跳过效果了

参考链接

END

建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注 😃

加我拉你入群 黑糖安全公众号
posted @ 2023-09-07 10:39  春告鳥  阅读(8752)  评论(18编辑  收藏  举报