2. 程式人生 > >重打包並通過java api hook來使簽名失效的工具demo分析

重打包並通過java api hook來使簽名失效的工具demo分析

阿新 發佈:2018-12-30

0x00 背景

偶然在github上看到有人star了這個 https://github.com/xxxyanchenxxx/SigKill/blob/master/README.md
功能:一鍵繞過App簽名驗證。實現原理是Hook了PackaegManager,返回我們指定的簽名。

0x01 程式碼分析

實現手段就是重打包注入smali程式碼,hook應用內的簽名校驗方法。返回我們指定的簽名。

-1.0 通過keytool正常簽名的獲取方式:

C:\Users\Desktop                                                             
λ keytool -list -printcert -jarfile  android.helper.system-1
 
.apk   
簽名者 #1:                                                                                                               

簽名:                                                                                                                   

所有者: CN=Android Debug, O=Android, C=US                                                                                
釋出者:
 
 CN=Android Debug, O=Android, C=US                                                                                
序列號: 1916b385                                                                                                         
有效期開始日期: Tue Jan 13 22:26:20 GMT+08:00 2015, 截止日期: Wed Jan 13 22:26:20 GMT
 
+08:00 2016                                 
證書指紋:                                                                                                                 
         MD5: 60:C9:08:38:FC:FA:2F:00:CE:88:7E:83:DC:23:56:E1                                                         
         SHA1: 41:74:6C:63:3F:DF:51:47:EC:FD:A4:A9:EF:E0:AE:38:49:4D:29:57                                            
         SHA256: 54:79:FE:95:87:2B:03:4B:06:35:FA:C9:14:E6:73:7A:0C:4A:A5:36:5E:15:9A:4D:6B:8A:84:9C:DB:2B:77:5B      
         簽名演算法名稱: SHA256withRSA                                                                                        
         版本: 3                                                                                                        

擴充套件:                                                                                                                   

#1: ObjectId: 2.5.29.14 Criticality=false                                                                             
SubjectKeyIdentifier [                                                                                                
KeyIdentifier [                                                                                                       
0000: 87 57 7B B4 E1 23 98 73   B2 6F 67 A2 CC CA 92 C7  .W...#.s.og.....                                             
0010: F6 77 84 BE                                        .w..                                                         
]                                                                                                                     
]                                                                                                                     



C:\Users\Desktop                                                                   
λ echo  41:74:6C:63:3F:DF:51:47:EC:FD:A4:A9:EF:E0:AE:38:49:4D:29:57 | sed 's/://g' | tr '[:upper:]' '[:lower:]'       
 41746c633fdf5147ecfda4a9efe0ae38494d2957
  • 1.1我們先看看android程式是如何獲取自身簽名的:
/** 
 * 通過packageInfo.signatures獲取app簽名
 */  
public String getSignMd5Str() {  
    try {  
        PackageInfo packageInfo = mActivity.getPackageManager().getPackageInfo(mActivity.getPackageName(), PackageManager.GET_SIGNATURES);  
        Signature[] signs = packageInfo.signatures; 
        Signature sign = signs[0];  
        String signStr = encryptionMD5(sign.toByteArray());  
        return signStr;  
    } catch (PackageManager.NameNotFoundException e) {  
        e.printStackTrace();  
    }  
    return "";  
}
  • 1.2我們從其注入的初試程式碼開始分析

第三步:在App的Application的attachBaseContext()函式中呼叫這行smali程式碼即可
smali: invoke-static {}, Lcom/yc/pm/SignatureKill;->kill()V


public class SignatureKill {
    public static void kill() {
        try {
            WebViewUpdateServiceStub.replaceService();
        }catch (Exception e){
            e.printStackTrace();
        }
        try {
            PackageManagerStub.replaceService();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

可以看到關鍵的函式就兩個
WebViewUpdateServiceStub.replaceService();和 PackageManagerStub.replaceService();

package com.yc.pm;

import android.content.pm.PackageInfo;
import android.os.IBinder;
import android.os.IInterface;
import android.util.Log;

import java.lang.reflect.Method;

/**
 * Created by yanchen on 18-1-28.
 */

public class PackageManagerStub extends MethodInvocationProxy<MethodInvocationStub<IInterface>> {
    private static String SERVICE = "package";

    public PackageManagerStub() {
        super(new MethodInvocationStub<>(getInterface()));
        init();

    }

    public static void replaceService(){
        PackageManagerStub serviceStub = new PackageManagerStub();
    }

    private static IInterface getInterface(){
        Object service =  Reflect.on("android.os.ServiceManager").
                call("getService",SERVICE).get();

        IInterface asInterface =  Reflect.on("android.content.pm.IPackageManager$Stub").call("asInterface",service).get();
        return asInterface;
    }

    private static IBinder getBinder(){
        return Reflect.on("android.os.ServiceManager").
                call("getService",SERVICE).get();
    }

    private void init(){
        addMethodProxy(new PackageManagerStub.GetPackageInfo());
        getBinder();

        try {
            BinderInvocationStub pmHookBinder = new BinderInvocationStub(getInvocationStub().getBaseInterface());
            pmHookBinder.copyMethodProxies(getInvocationStub());
            pmHookBinder.replaceService(SERVICE);
        }catch (Exception e){
            e.printStackTrace();
        }

        IInterface hookedPM = null;
        try {
            hookedPM = getInvocationStub().getProxyInterface();
            Object o = Reflect.on("android.app.ActivityThread").set("sPackageManager",hookedPM);
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    private static class GetPackageInfo extends MethodProxy {
        @Override
        public String getMethodName() {
            return "getPackageInfo";
        }

        @Override
        public Object call(Object who, Method method, Object... args) throws Throwable {
            PackageInfo result =  (PackageInfo)method.invoke(who,args);
            if(result != null){
                result.signatures = SignatureFake.getSignature();
            }
            return result;
        }
    }
}

可以看到通過反射替換來hook簽名 packageInfo.signatures的值。

總結:這類重打包注入程式碼的行為入侵性太強。如果能用VrituaApp 在VA的框架下進行hook。效果會好很多。

參考

https://www.jianshu.com/p/4f6d20076922 理解 Android Hook 技術以及簡單實戰
http://blog.csdn.net/manymore13/article/details/50717622 獲取apk簽名信息

相關推薦

打包通過java api hook使簽名失效工具demo分析

0x00 背景 偶然在github上看到有人star了這個 https://github.com/xxxyanchenxxx/SigKill/blob/master/README.md 功能:一鍵繞過App簽名驗證。實現原理是Hook了PackaegManager,返回我們

通過Java對象遍歷成員方法,成員變量,構造函數

return pri typename static spa tde log 繼承 red 1 package classTest; 2 3 import java.lang.reflect.Constructor; 4 import java.lang.ref

微信公眾號開發-開發環境搭建通過java程式碼獲取微信access_token

進入開發文件: 獲取access token access_token是公眾號的全域性唯一票據,公眾號呼叫各介面時都需使用access_token。開發者需要進行妥善儲存。access_token的儲存至少要保留512個字元空間。access_token的有效期目前為2

HBase--通過Java API與HBase互動(增刪改)

import java.io.IOException; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop

Hadoop學習筆記一(通過Java API 操作HDFS,檔案上傳、下載)

package demo.hdfs; import java.util.Arrays; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.BlockLocation; impor

hbase程式設計:通過Java api操作hbase

轉:http://www.aboutyun.com/thread-7151-1-1.html http://blog.csdn.net/cnweike/article/details/42920547 http://blog.csdn.net/zwx19921215/art

(轉)通過Java SE 7自帶的監控服務(WatchService API)實現類似.NET FileWatcher的功能

thread new and mar chan col att 項目 chang 轉自:http://www.cnblogs.com/callwangxiang/archive/2011/08/04/JavaDirectoryWatcherFileWatcher.html

如何通過class文件查看java的版本

如何 ima class 生成 通過 如果 字節 jdk1.5 版本號 我們知道class文件是通過javac編譯生成的,如果我們想知道是java的那個版本生成的,該怎麽做? 很簡單,Linux下只要使用od命令,如下: 前四個字節為固定的cafe babe,接下來的四個

Java通過method對象調用方法

ring demo1 rac body test 示例 進行 pos exc 1 package reflectTest; 2 3 import java.lang.reflect.Method; 4 5 /** 6 * 通過獲取類類型,進而獲取Meth

c# 擴展LINQ的order by函數支持通過字符串指定列名支持多列

排序 descend ID ide cti then tps class IT 本文借鑒了https://blog.csdn.net/lan_liang/article/details/68523451。 將字符串轉換為orderby的linq可以極大地減少重復勞動,可是該

AndroidStudio離線打包MUI集成JPush極光推送java後端管理推送

覆蓋 如果 dep record tco mat resource 靜態 pkg 1.AndroidStudio離線打包MUI   如何離線打包請參看上篇隨筆《AndroidStudio離線打包MUI》 2.集成極光推送   官方文檔:https://docs.jig

Springboot中如何引入本地jar包,通過maven把項目成功打包成jar包部署

exce b2c ast jar mave 調用 span aps ide 最近嘗試引入阿裏雲的短信驗證碼,阿裏雲的core sdk是maven就有的,但是短信相關的jar包卻不是放在maven的,所以得引入本地的下載回來的jar包。本地開發直接引入,idea是可以直接跑調

《gnuplot》Java計算出三角函式的資料通過gnuplot作出波形圖

一、用Java計算資料     使用Java程式計算出sin、cos、tan三個三角函式在-360° ~ 360°角度範圍內每一度所對應的數值。     程式中需要用到的Java中Math類方法簡介: 方法 功能

打包釋出到NPM通過CDN訪問

本文主要講述基於webpack編寫js包檔案後上傳到npm,並通過cdn進行訪問。 建立專案 在自己新建的資料夾下執行如下程式碼: npm init name: (mtmap) version: (1.0.0) description: xxxxx entry point: (/dist/gaia.d

Java通過反射API操作:構造器、方法、屬性

一 測試各種型別的(class,interface, enum, annotation, primitive, type, void)對應的java.lang.Class物件的獲取方式 package Reflection; /** * 測試各種型別的(class,int

java執行command通過libreoffice軟體的方式將word轉化成HTML的詳細步驟解析

一、實現程式碼 : import org.apache.commons.io.IOUtils; import java.io.File; import java.io.IOException; import java.io.InputStream; import java

java web客戶端整合cas,web.xml通過編碼的方式載入配置

前言: 專案整合cas單點登入,需要在web.xml里加上cas-client的過濾器配置,但是配置地址太繁瑣,而且有重複配置,能不能讓web.xml去讀properties檔案,只做一次配置。在porperties裡配置cas單點開關引數,開就載入cas配置,整合cas,關就不整合。

Java匿名內部類(通過繼承抽象類實現)

3. 匿名內部類  沒有名字的內部類就是匿名內部類。 3.1 匿名內部類特性 1. 匿名內部類總是預設實現某個介面或繼承某個抽象類。 2.不能有構造方法,只能有一個例項。 3. 不能定義在任何靜態成員、靜態方法。 4. 不能是public.protec

新手超詳細記錄:Docker for Windows打包製作tomcat映象部署java web專案

專案基本情況 我用的是普通的java web專案,其中採用了struts框架,沒有main函式,Makefile實在寫不出來,因此spring框架的那種打包docker的方式並不適用。 開發工具用的是MyEclipse10,平常在本地執行的時候就是部署到

java:通過javadoc API讀取java原始碼中的註釋資訊(comment)

如何從java原始碼中讀取註釋資訊?(注意不是指通過反射讀取annotation類,是comment,就是程式設計師在原始碼中加的註釋) 比如: /** * 使用當前類的class loader載入工具物件 * @param