【逆向】Android逆向小白花一个小时破解某社区VIP

原文地址：https://github.com/goldze/Anti-Android-KM

前言

不记得是哪一天，忽忽悠悠地就进入了某猫社区（你懂的），今后，天天早上一瓶养分快线。庆幸的是，该社区为了盈利，开启了VIP通道和播放次数限制，否则能够直接喝蛋白质了。不过正值青春、精力旺盛的咱们，怎么能让理智控制欲望？那就成为高大上的会员，开启VIP加速通道，无限观看！充钱？充钱是不可能充钱的，这辈子都不可能充钱。做为Android开发者，应该用特殊的手段来搞定特殊的事情，带着咱们目标，那就来一次Android的逆向之旅吧！

发布此文的目的，除了分享整个破解过程外，还但愿能够帮助你打开Android逆向的大门，体验不同的Android世界。

此文章仅供技术交流
此文章仅供技术交流
此文章仅供技术交流

...没时间解释了，赶忙上车吧..

准备工做

玩逆向的基本工具，这里须要准备Android逆向三件套 apktool、dex2jar、jd-gui

apktool：反编译apk、从新打包新apk。你能够获得 smali、res、AndroidManifest.xml 等文件；

dex2jar：把Android执行的 dex 文件转成 jar 文件；

jd-gui：一款能够方便阅读 jar 文件的代码工具。

他们之间的关系，能够参考下图：

下载好上面三个工具，就能够开启你的逆向之旅了！

逆向开始

提到逆向，可能不少朋友会想到Xposed，用Xposed去Hook参数，绕过if判断。没错，用Xposed确实很容易就能达到目的，可是它的限制比较大，手机须要root，而且安装Xposed模块，或者须要跑在VirtualXposed虚拟环境下，增长了使用者的上手成本。

咱们这里的破解方式，会直接输出一个破解版Apk，使用者不须要进行任何多余的操做，安装便可使用。

第一步：将原应用 apk 后缀改为 zip，解压出 classes.dex 文件

其实这一步是最难的，逆向最难的在于脱壳，脱壳分两种，手动脱壳(手脱)和机器脱壳(机脱)。什么是脱壳呢？就是不少App在发布到应用市场以前，会进行加固，即加壳，它会把真正的dex文件给"藏"起来，咱们就须要经过脱壳的方式去找到应用里真正的dex，才能拿到里面的源码。只有拿到源码并读懂源码(混淆后连蒙带猜)，才能找到爆破点，才能修改代码从新编译。

咱们这里破解的某猫App，由于它的特殊性质，它上不了市场，也没有加固，最可气的是，它竟然不混淆，这让咱们破解的难度直线降低。

第二步：使用 dex2jar 将 classes.dex 转成 jar 文件

cmd到dex2jar文件夹目录，执行

d2j-dex2jar D://xxx/xxx/classes.dex
复制代码

获得 jar 文件

第三步：将 jar 文件用 jd-gui 打开，查看源代码

静态分析

拿到源码后，首先咱们须要找到应用的限制点，绕过App里面的判断。

而后分析源码，该从哪里开始入手呢？

咱们都知道，一个完整Android应用，可能会存在各类第三方，各类依赖库，这些依赖都会被编译到dex里面，因此这个Jar包里面会存在不少不一样包名的类文件，为了方便找到破解应用的包名，咱们能够借助adb打印栈顶activity的类全路径：

adb shell dumpsys activity | findstr "mFocusedActivity"
复制代码

activity的包路径已经打印出来了，接下来在 jar 文件里面找到 PlayLineActivity.java 的相关代码。

根据页面Toast提示，很轻松就能定位到爆破点。

UserUtils.getUserInfo().getIs_vip().equals("1")
复制代码

能够看出，当会员字段为 1 时，说明是会员用户，就会切换至线路2。

Hawk.put("line", "2");
复制代码

那接下来只须要修改用户实体类 UserModel 的 getIs_vip() 方法，让它永远返回 1 就好了。

破解

dex2jar、jd-gui 都只是分析工具，下面才是真正破解的开始。

Smali简介

Dalvik虚拟机和Jvm同样，也有本身的一套指令集，相似汇编语言，可是比汇编简单许多。咱们编写的Java类，最后都会经过虚拟机转化成Android系统能够解读的smali指令，生成后缀为 .smali 的文件，与Java文件一一对应（也可能会比Java文件多，典型的好比实现某个接口的匿名内部类），这些smali文件就是Dalvik的寄存器语言。 只要你会java，了解android的相关知识，就能轻松的阅读它，

因此，咱们真正须要修改的东西，是 java 代码对应的 smali 指令。

反编译

咱们利用apktool工具，来提取apk里面的 smali文件。

cmd到apktool文件夹下面，执行 （你也能够配置环境变量，这样会方便一些）

apktool.bat d -f [apk输入路径] [文件夹输出路径]
复制代码

反编译成功后，打开smali文件夹，找到 UserModel.java 对应包名下的 UserModel.smali 文件。

爆破

找到了爆破文件，找到了爆破点，接下来就能够对 UserModel.smali 文件进行爆破了（为何叫爆破，我也不知道，行内都是这样叫的，感受高大上，其实就是修改文件）。

用编辑器打开 UserModel.smali ，找到 getIs_vip 方法

能够看到，它返回了成员变量 is_vip 的值，咱们只须要把它的返回值修改为 1 就好了。

若是对smali指令不熟悉，你能够花10分钟去了解一下smali的基本语法。

定义一个string类型的常量 v1，赋值为 1，并将它返回出去。

动态调试

破解的这个好像太简单了，都省掉了调试步骤，那就直接

保存，搞定！

回编

接下来把反编译生产的文件夹又从新回编成 apk。

从新打包

cmd到apktool文件夹下面，执行

apktool b [文件夹输入路径] -o [apk输出路径]
复制代码

若是修改smali文件没有问题的话，就能够正常生成一个新的 apk 文件。

这时候直接将从新打包的apk文件拿去安装是不行的，由于以前zip解压的目录中，META-INF 文件夹就是存放签名信息，为了防止恶意串改。

因此咱们须要对从新打包的apk从新签名。

从新签名

首先准备一个 .jks 的签名文件，这个开发android的同窗应该很熟悉了。

配置了JDK环境变量，直接执行：

jarsigner -verbose -keystore [签名文件路径] -storepass [签名文件密码] -signedjar [新apk输出路径] -digestalg SHA1 -sigalg MD5withRSA [旧apk输入路径] [签名文件别名]
复制代码

最后在你的文件夹下面，就能够看到一个 某猫VIP破解版.apk。

安装并验证功能

总结

最后来梳理一下破解流程：

一、将原应用 apk 后缀改为 zip，解压出 classes.dex 文件

二、使用 dex2jar 将 classes.dex 转成 jar 文件

三、将 jar 文件用 jd-gui 打开，查看源代码

四、adb定位到类名包路径，找到相关代码

五、apktool 反编译 apk，找到 smali 对应的爆破点

六、修改 smali 文件，调试程序

七、从新打包，从新签名

以上是我对此次破解流程的一个总结，若是有不对或者遗漏的地方，还请各位大佬指正。

最近有点感冒，干咳一个多月了还很差起来，想到小菊花妈妈课堂那句话：孩子咳嗽老很差，多半是废了。我也就放弃治疗，待在空荡的房间，干着喜欢干的事^_^。我也是刚接触Android逆向没多久，一开始觉得很复杂，很麻烦，当时只是抱着无聊想试试的心态，反正都放弃治疗了，没想到只花了一个多小时，居然就成功了，并无想象中的那么难。

若是你对逆向也感兴趣的话，而且和我同样是初学者，我以为这个实战过程很是适合你。一是能让你感觉到破解的整个过程；二是难度不大，不会打击到你的兴趣，同时还能获得必定的成就感。

若是你也想来试一试，请准备好你的养分快线，apk安装包原文件我会放在群共享里，欢迎你的加入！

QQ群：61455640