Android逆向分析实例(一)-绕过搜狗输入法的签名验证

 

写在前面：我们在做逆向工程时，经常会对apk文件进行反编译，分析其中的代码，然后重打包，重签名。但本apk为了防止重打包，设置了签名验证，它会验证当前apk的签名是否与官方的一致，如果不一致就会提示盗版信息，且无法正常打字。原apk下载载接

 

首先介绍下签名验证的两种方式：一种是服务器上的签名验证，另一种则是本地的签名验证。

 

区分两种验证的方法：将apk以压缩包的形式打开删除原签名后再签名，如果在断网的情况下出现异常，则是本地的签名验证；如果首先出现的是提示网络没有连接，则是服务器端的签名校验。本apk使用的是本地的签名验证。

 

重打包，重签名后进入app，无法正常打字，且会显示如下信息：

 

​

 

1.定位代码

 

逆向工程中我个人觉得最难的地方就是代码定位，一旦定位准确了，修改代码就很简单了。

 

那么对于这个apk该如何快速定位呢？

 

其实上面图片中的"你安装的是盗版输入法，请到官网下载"已经给了我们提示。

 

现在用jeb打开这个apk，在工程浏览器中搜索strings.xml(存放apk所有字符串的文件)，然后在该文件中搜索"你安装的是盗版"，然后可以搜索到以下内容：

 

​

 

可以发现这句话对应的就是代码中的"check_key"，接下来我们去代码中搜索"check_key"；用jadx打开apk，全局搜索"check_key"，可以看到下图：

 

​

 

我们发现只有红框标出的地方是调用这个变量，其它的地方都是定义这个变量，于是双击这一行进入到代码调用处；

 

​

 

发现了对"setupNative"这个函数返回值进行判断的语句，并且这个函数有两个参数，很像是字符串比较的函数，难道就是这个函数嘛？当时我就解压了apk文件，并找到了这个函数的smali文件，将if-nez改成了if-eqz，然后保存后重打包，重签名，安装后测试发现打开后不会显示"你安装的是盗版输入法，请到官网下载"这个消息了，本以为已经大功告成了，但是后面还是无法正常打字。

 

那就只能看一下这个函数了，右键查看"setupNative"函数声明：

 

​

 

发现了"native_setup"这个函数，跳到函数声明，原来是native层的函数；

 

​

 

那就只能借助这个星球上最强大的反编译工具ida来分析so文件了。

 

将apk解压；

 

用010Editor打开各个so文件，并搜索文本"native_setup"，最终在assets\raw\sogouime文件中找到了这个函数。

 

​

 

用ida打开sogouime文件，按快捷键"Alt + T"搜索文本"native_setup"：

 

​

 

点进去：

 

​

 

就是"sub_16D78"这个函数(这个函数本身意义上就是native_setup，只是在ida中用sub_16D78表示而已)；切换成图表模式，可以看到这个函数的执行流程：

 

​

 

从图中我们可以了解大概意思：如果R0 = 0，则执行绿线跳转到地址loc_16DEC处，R0 = 1则执行红线(估计解除限制打字的操作)。

 

按F5查看伪代码：

 

​

 

原来R0就是这个"sub_16D78"函数的返回值result，那我将result(R0)的值直接改为1，让这个函数一直返回"真"不就行了嘛。

 

2.修改代码

 

点击CMP指令，转为汇编代码并查看指令地址：

 

​

 

再次用010Editor打开sogouime文件，跳转到地址16D90处：

 

​

 

将"00"修改为"01"，保存后重打包，重签名，安装后就可以正常打字了。

 

最后附上绕过签名验证的apk地址：修改的apk下载链接。

我的公众号！

​