功能强大，支持修改报文仅支持、Mac可以按照域名进行分层级查看 返回列表

功能强大，支持修改留言

只支持

，苹果

可以按域名分层查看

需要付费

打嗝套件

支持java的平台

黑客喜爱的强大工具

界面不是很好看

2.2 模拟器

PS：仅支持系统和Mac系统（暂不支持M1）

PS：仅支持系统和Mac系统（暂不支持M1）

PS：仅支持系统

PS：仅支持系统

0x03 强化特征库

assets/.appkey
assets/libjiagu.so
assets/libjiagu_art.so
assets/libjiagu_x86.so
assets/libprotectClass.so

lib/armeabi/libexecmain.so
assets/ijiami.ajm
ijiami.dat
assets/af.bin
assets/signed.bin
assets/ijm_lib/armeabi/libexec.so
assets/ijm_lib/X86/libexec.so

assets/dex.dat
lib/armeabi/kdpdata.so
lib/armeabi/libkdp.so
lib/armeabi/libkwscmm.so
libkwscr.so
libkwslinker.so

免费版本

assets/secData0.jar
lib/armeabi/libSecShell.so
lib/armeabi/libSecShell-x86.so
libsecexe.so
libsecmain.so
libDexHelper.so

定制版

assets/classes.jar
lib/armeabi/DexHelper.so
libDexHelper-x86.so
DexHelper.so

tencent_stub
lib/armeabi/libshella-xxxx.so
lib/armeabi/libshellx-xxxx.so
lib/armeabi/mix.dex
lib/armeabi/mixz.dex
libtup.so
libexec.so
libshell.so

assets/libtosprotection.armeabi-v7a.so
assets/libtosprotection.armeabi.so
assets/libtosprotection.x86.so
assets/tosversion
lib/armeabi/libtest.so
lib/armeabi/libTmsdk-xxx-mfr.so

lib/armeabi/libx3g.so

aliprotect.dat
assets/armeabi/libfakejni.so
assets/armeabi/libzuma.so
assets/libzuma.so
assets/libzumadata.so
assets/libpreverify1.so
libsgmain.so
libsgsecuritybody.so
libmobisec.so

assets/classes.dex.dat
assets/dp.arm-v7.so.dat
assets/dp.arm.so.dat

libegis.so
libNSaferOnly.so

libAPKProtect.so

lib/armeabi/libbaiduprotect.so
assets/baiduprotect1.jar
或者
assets/baiduprotect.jar

assets/itse
lib/armeabi/libitsec.so

assets/jiagu_data.bin
assets/sign.bin
lib/armeabi/libapktoolplus_jiagu.so

libedog.so/libddog.so
libfdog.so
libedog.so
libchaosvmp.so

libegis.so
libNSaferOnly.so

libapssec.so

librsprotect.so

libnqshield.so

libnesec.so

assets/libuusafe.jar.so
assets/libuusafe.so
lib/armeabi/libuusafeempty.so

assets/mogosec_classes
assets/mogosec_data
assets/mogosec_dexinfo
assets/mogosec_march
lib/armeabi/libcmvmp.so
lib/armeabi/libmogosec_dex.so
lib/armeabi/libmogosec_sodecrypt.so
lib/armeabi/libmogosecurity.so

assets/libreincp.so
assets/libreincp_x86.so

部分外壳

s.h.e.l.l.S

com.stub.StubApp

com.Kiwisec.KiwiSecApplication
com.Kiwisec.ProxyApplication
或者干脆没有application

com.secshell.secData.ApplicationWrapper

com.tencent.StubShell.TxAppEntry

c.b.c.b

MyWrapperProxyApplication

cn.securitystack.stee.AppStub

com.linchaolong.apktoolplus.jiagu.ProxyApplication

com.coral.util.StubApplication

com.mogosec.AppMgr

监测application即可

没.appkey
application为com.qihoo.util.stub2678363137

application为com.secoen.apkwrapper.ApplicationWrapper

0x04 和平精英辅助分析

配置相应的配置，这样我们就可以抓包了

然后返回手机首页，然后点击Elite Fz APP

单击“更新”，此处将显示更新的链接。 我们来谈谈打嗝。 Burp的包在链接被捕获后会自动消失。 建议直接抓包或者使用其他抓包协议来获取请求。

GET /jdqsc/gx.txt HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; VOG-AL00 Build/N2G48H)
Host: buwo.oss-cn-beijing.aliyuncs.com
Connection: close
Accept-Encoding: gzip, deflate

可以看到服务器放置在阿里云的对象存储OSS服务器上和平精英辅助外挂网，如下：

防堵引擎地址：

发卡地址：

APP主要通过北京阿里云服务器、蓝座云网盘、第三方平台支付、挂号卡等网络通信行为进行通信和验证

首先将APK后缀改为ZIP并解压包，将里面的.dex文件复制到路径下，执行以下命令：

d2j-dex2jar.bat classes.dex

如上图所示，发现入口类已处理完毕，APP已加固。

1、解压app暗区外挂，查看目录下是否有对应的so文件。 该目录下的so文件名可以作为识别钢筋厂家的方法

2、将app拖到反编译工具中和平精英辅助外挂网，比如jadx工具，通过工具查看入口类是否被替换，是否有硬化厂家的特征

PS：APP类中的 和 两个函数是最先获得代码执行的执行权的。这也是为什么很多加固工具的主要逻辑就是替换APP入口，实现这两个函数来达到加固效果

在上面的屏幕截图中，可以发现以下功能：

com.stub.StubApp
assets/.appkey
assets/libjiagu.so

PS：发现该APP是360加固的

4.1 Frida 解包工具

贝壳的种类很多，可以简单分为以下三类：

4.1.1 弗里达-

firda- 原理是利用frida hook.so中的方法获取dex在内存中的地址，计算dex文件的大小，并从内存中导出dex。 我们可以查看项目中.js文件中的代码更加清晰直观的了解

项目地址：

frida -U -f   com.APK进程名   -l. dexDump.js. --no-pause

PS：转储dex文件并将其保存在data/data/目录中

4.1.2 弗里达-

解压后的dex文件保存在PC端与main.py同目录下，以包名作为文件名

项目地址：

4.1.3

在文件头中搜索dex进行解压

项目地址：

PS：dex文件会被搜索并转储，并保存在data/data//files目录下

4.1.4 放屁

Frida版本的Fart目前只能在互联网上使用。 Fart 的 Frida 版本是通过钩子实现的函数粒度脱壳。 它只加载类中的所有函数，但仍然可以解决大部分提取保护。

项目地址：

解压.zip，将目录下的fart.so和.so推送到/data/app目录下并使用chmod 777以spawn模式启动app，等待app进入界面，执行fart()函数。如果应用程序包名为 com..test，则

frida -U -f com.xxx.test -l frida_fart_hook.js --no-pause

高级用法：

如果发现某个类中的函数的CodeItem没有dump下来，
可以调用dump(classname),传入要处理的类名，
完成对该类下的所有函数体的dump，
dump下来的函数体会追加到bin文件当中

PS：对于被动调用的拆包修复，由于代码覆盖率较低，无法触发app内所有函数的调用，因此修复范围有限

4.1.5

它是一款运行在手机上的解包工具，支持5.0~12，可以在任何手机上使用，不依赖任何环境，包括模拟器。 解压已安装和已卸载的 APK 只需几秒钟。

项目地址：

4.2 脱壳

APP脱壳原理

shell app解密源apk的dex后，加载源apk之前，拦截此过程中的系统函数，并将dex文件转储到内存中

对于完整的dex文件，使用暴力搜索的方法来搜索关键特征。 对于擦除头文件信息的dex，比如擦除magic bytes信息，需要通过匹配一些特征来搜索

工具：

pip3 install frida-tools

adb.exe push C:\xxx\frida-unpack\inject.sh  /data
cd /data
chmod +x inject.sh

# 转发frida端口
adb.exe forward tcp:27042 tcp:27042adb.exe forward tcp:27043 tcp:27043adb.exe forward tcp:38089 tcp:38089# 启动frida并修改监听端口（防止部分app监测默认端口）
adb.exe shell /data/local/tmp/ -l 0.0.0.0:38089

CPU架构说明

第5代ARM v5TE，采用软件浮点运算，兼容所有ARM设备，通用性强，速度慢

-v7a

第七代ARM v7，采用硬件浮点运算，具有高级扩展功能

ARM64-V8A

第8代，64位，包括，32、64位对应的两种执行状态

x86

位，通常用于平板电脑

位，通常用于平板电脑

米普斯

少接触

少接触

adb shell getprop ro.product.cpu.abi

adb.exe push E:\xxx\frida-unpack\frida-server-15.1.14-android-x86  /data/local/tmp/adb.exe shell 
cd /data/local/tmp/chmod 777 frida-server-15.1.14-android-x86./frida-server-15.1.14-android-x86

PS：可能会遇到解压失败的情况，多尝试几次

拆包失败解决方法：

博主多次尝试第二种方法，成功了。 程序崩溃了好几次，可能是模拟器的原因。

接下来我们要把另一件取下来。

pyhon3 main.py -p 4943  -n com.zlhkjyq

0xb3c8d000.dex0xb3e77f30.dex0xb356d000.dex0xc3ee1a20.dex0xc3ee1b70.dex

从上图发现是一个易语言开发的APK，包的特征比较明显

find /  -name "*.txt"

查看一些文本以查找可以下载 APK 的位置

将验证多少次可以获得注册码的文字内容改为20次，即可获得注册码

adb.exe pull /data/media/0/stymd/ther/bmn/zscs.txt D:/

adb.exe push D:/zscs.txt  /data/media/0/stymd/ther/bmn

再次进入游戏，点击获取注册号

我们注册成功后，软件会下载防堵引擎

GET /tp/xxxxx HTTP/1.1Host: iji.lanzout.comConnection: closeUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Linux; Android 5.1.1; HD1910 Build/LMY48Z; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,en-US;q=0.8
X-Requested-With: com.android.browser

像精英支持Fz一样，通过当地的判断，免费卖淫总是那么自然，哈哈，但是不要购买它来破坏游戏规则，这仅用于研究，不提供APK示例

返回游戏发现注册成功

adb.exe push D:/ff.txt  /mnt/shell/emulated/0/Dyri/yxme/winop

之前看代码逻辑的时候发现是本地判断的。 一是判断本地是否有vip.txt文本以及分享次数是否达到20次来判断是否已经注册或者符合领取注册号的资格。 然后直接在本地创建vip。 txt，扔进去然后激活

PS：已知vip.txt的文本为空，所以看来只是简单的判断文本是否存在

APP插件防封引擎，通过向游戏客户端注入作弊功能的代码，实现游戏作弊的功能和效果

实现游戏作弊功能，从业务层面来说，就是修改游戏角色属性或者关键函数参数以及返回值信息。 从底层引擎实现来看，作弊功能是通过修改底层渲染部分来实现的，比如调整子弹的速度，使得子弹与碰撞体碰撞时，会出现穿墙的效果。

在游戏中购买和使用游戏辅助软件具有非常高的风险系数，因为如果使用游戏辅助软件，肯定会面临被封禁的风险。 二、购买游戏辅助软件容易被骗

参考链接：