對某APP內的道具購買進行破解

學習筆記三：對一款存在道具、關卡內購的APP進行破解使其道具、關卡購買免費化

一、將該未進行處理的APP通過模擬器安裝使用

通過安裝後的使用（購買其中的道具）發現該APP總體上通過手機發送簡訊的付費的方式進行支付操作。第二張圖又說明在支付邏輯中存在驗證碼的驗證。

二、利用Android KILLer 對其進行反編譯

1、首先解決驗證碼的驗證失敗。

首先猜想是否存在這樣的邏輯：判斷APP是否存在簡訊的行為，有則進入驗證碼判斷，無則跳出——驗證：禁止該APP的簡訊傳送許可權（在AndroidManifest.xml中刪除對應的許可權，由下圖可知該APP設定了兩處簡訊傳送許可權[android.permission.SEND_SMS]）

2、將1中問題解決後打包安裝，發現成功解決簡訊驗證問題但並未實現免費內購。

重新檢視反編譯後工程。檢視strings.xm檔案定位關鍵詞（支付、購買、成功、失敗等等）——未通過相關關鍵詞找到購買邏輯。 猜想其關鍵詞直接寫在程式碼中——通過工程搜尋關鍵詞的文字以及unioncode編碼成功找到其購買邏輯。 同歸jd-jui檢視其java原始檔可以清晰的看到其購買方法

public void payResultFalse()
  {
    this.psif.doPayFalse(payId);
    this.paysuss = false;
    Printlog("zhifu false");
    this.falseTime += 1;
    showDebug("購買失敗");
    if ((this.falseTime == 2) && (MessageUtil.getInstance().ADOpen == 2) && (adf != null))
    {
      adf.init(this.context, this);
      showDebug("購買失敗兩次開啟廣告");
    }
    if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0")) && (getPayT() == 0)) {
      osif.pay();
    }
  }
  
  public void payResultSuccess()
  {
    float f1 = Float.valueOf(RecordOpreate.getInstance().getData(RecordOpreate.totalMoey)).floatValue();
    if ((f1 < MessageUtil.getInstance().limitMoney) && (this.payCodeMoney + f1 >= MessageUtil.getInstance().limitMoney)) {
      toastShow("恭喜您達到消費上限，自動開通尊享VIP，您可以免費購買任何道具");
    }
    float f2 = this.payCodeMoney;
    RecordOpreate.getInstance().saveData(RecordOpreate.totalMoey, f1 + f2);
    this.psif.doPaySuccess(payId);
    this.paysuss = true;
    this.statPtime = System.currentTimeMillis();
    System.out.println("dpv111111111" + this.dpv.size());
    int i = 0;
    for (;;)
    {
      if (i >= this.dpv.size())
      {
        System.out.println("dpv2222222222222" + this.dpv.size());
        this.falseTime = 0;
        if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0"))) {
          this.migfalseTime = 0;
        }
        showDebug("購買成功");
        return;
      }
      DialogPay localDialogPay = (DialogPay)this.dpv.get(i);
      localDialogPay.dismiss();
      this.dpv.remove(localDialogPay);
      i += 1;
    }
  }
 

在通過搜尋其方法呼叫的中，還發現了以下呼叫

 public void onResult(int paramAnonymousInt, String paramAnonymousString, Object paramAnonymousObject)
      {
        lqap.dd(paramAnonymousInt, paramAnonymousString);
        MiGuSdkPay.this.Printlog("onResult" + paramAnonymousObject + "billingIndex" + paramAnonymousString + "resultCode" + paramAnonymousInt);
        switch (paramAnonymousInt)
        {
        default: 。
          MiGuSdkPay.this.payResultCancel();
          return;
        case 1: 
          MiGuSdkPay.this.payResultSuccess();
          return;
        }
        MiGuSdkPay.this.payResultFalse();
      }
 

3、定位關鍵點後進行修改

在對payResultSuccess與payResultFalse修改時，可以： 1)、將payResultFalse中的方法替換成payResultSuccess中的方法 2)、可以將自己編寫一個invoke-virtual方法呼叫payResultSuccess方法來替換payResultFalse中的smali程式碼，並在最後加上return-void來進行返回。 在對onResult進行修改時，可以將switch中的幾個方法呼叫全更改為payResultSuccess

4、對修改後的工程進行編譯

將修改後的APK進行安裝執行，點選購買彈出支付失敗，但是點選確定後道具任然購買成功。至此在該APP上實現免費內購。

對本文，自我感覺錯誤有點多，希望各位指正！！！

三、總結：經過多次多種方法嘗試後，在對去內購的過程中不能對某單一方法進行修改，最後的實現功能存在多種路徑，應當不斷尋找該方法內的方法呼叫來尋找合適的方法來進行修改

以後注意要注意事項：實驗過程中發好幾次未知的錯誤，導致修改失敗，實驗過程應該不斷嘗試尋找原因，並積累經驗。