某助手备份手机文件加解密分析
1.连上手机,点击数据备份可以选择,文件类型进行备份,以图片测试为例。
2.备份完本地的存储目录结构,其中picture.xml存储有Iv字段,初步怀疑是AES的向量,加密文件是.enc为后缀,backupinfo.ini有password等字段。
3.进行加密文件函数关键字定位,可以找到对应函数,往下调试可以跟踪到加密函数。
4.进行下断调试验证,加密的iv为xml里面的iv,算法是简单的ctr,需跟踪key的来源。按堆栈回溯定位到key赋值的函数
key计算:
5.进行解密验证