点击蓝字 · 关注我们
前言
之前分析完师兄给的apk后,师兄给了下一个目标,说这是一个取证比赛的例题,涉及到密码学解密。但是因为本人这方面比较薄弱,所以在解题的时候,就用到了objection-一个基于frida的工具,动态调试的时候非常好用。
标题的FO指的就是这个objection,因为全部打出来太长了。
参考文献:<<Frida逆向与协议分析>>
正文
这里本人用到的模拟器是夜神模拟器,但是这里在之后动态调试的时候遇到了一个bug,adb特别容易在调试的时候下线。网上查了一下资料,需要将目录的adb换成原生adb,nox_adb改成nox_adb_bf.这样就可以解决这个问题了。
拿到文件之后,发现有一个加密过后的db文件,还有一个apk,想来解密方法就是在这个apk当中。
这里把apk先放到模拟器中安装。
把apk放入android killer中,查看源码。
可以看到db后缀名,这里进行了一个跟文件有关的操作,后续又调用了其他的类,进入该类中查看。
可以看到这里又调用了b的方法。
结合第一个入口文件,可以得知这里是经过了几步运算得出解密的密钥,但是因为本人这方面的知识比较薄弱,所以不准备直接解密(师兄说他是直接解的),这里用到的是objection进行调试。
objection是一个基于frida的工具,需要先安装frida和对应版本的server.
安装过程如下:
pip3 install objection
这里这一步会直接帮忙把frida和frida-tools安装掉,接着去把对应的frida-server安装上传至模拟器就行。
adb push frida-serverxxxxx /data/local/tmp
chmod 777 frida-server
./fridaserver
这里的思路就是利用hook这个getWritableDatabase函数,然后将这个函数的参数动态打印出来就行。(因为因为经过解密函数,最后传进去的就是明文的口令).
这里先查看一下进程
frida-ps -R
可以看到这里是美美亚亚目标进程。
objection -g 美美亚亚 explore,对进程进行注入。
android hooking search methods getWritableDatabase.
之后再执行这个命令,找到getWritableDatabase这个函数,对其进行watch.
android hooking watch class_method net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase --dump-args --dump-backtrace --dump-return
对这个函数进行监控。
之后再重新调用这个app,重新加载这个函数,就会发现口令被打印出来了。
这里再用sqlitebrowser打开这个db文件利用那个口令,发现这个就是正确的。
电子取证