0x00前言
环境及工具:
手机 Nexus 4(己root)
系统版本 Android 5.01
工具 AndroidKiller_V1.2
关于Android平台app注册机的编写网上文章还比较少,而在Windows平台上这方面的教程己经很多了,今天将以一个简单的app为例分析并编写一个注册机,高手莫要见笑,仅供小菜玩乐,有不对或不足的地方还请多多指教,不胜感激!
0x01信息收集与注册码验证流程分析
a.程序安装运行后如图1所示,须要注册码,而且从界面上可以看出应该是绑定了机器码的。
图1
随便输入一个错误的序列号,提示 “序列号错误,请检查后重新输入!”。
b.我们先来分析它的机器码是如何产生的?
将apk放到AndroidKiller中进行反编译,在网上搜索获得Android设备的唯一序列号,一共就几种方法,然后在反编译后的apk中搜索关键字最终搜到了 "ANDROID_ID",如图2所示。
图2
转换后的java代码如图3所示:
图3
从图3可以看出它是获得ANDROID_ID后调用EncryptionAlgorithm().MD5(str))算法加密,然后将密文存放在/data/data/com.drivetest.lukaoyi/shared_prefs/devicenumber.xml文件中, 而/data/data/com.drivetest.lukaoyi/shared_prefs/isReg.xml文件是保存注册标志的,注册前后里面变化如下:
未注册:<string name="ISREG">0</string>
注册后:<string name="ISREG">1</string>
从图3可以看出程序启动时会读取isReg.xml并且判断“ISREG”是否为”1”。
下面是在网上搜索到的关于ANDROID_ID的一些说明:
ANDROID_ID是设备第一次启动时产生和存储的64bit的一个数,当设备被wipe后该数重置,ANDROID_ID似乎是获取Device ID的一个好选择,但它也有缺陷:它在Android <=2.1 or Android >=2.3的版本是可靠、稳定的,但在2.2的版本并不是100%可靠的在主流厂商生产的设备上,有一个很经常的bug,就是每个设备都会产生相同的ANDROID_ID:9774d56d682e549c。
c.定位注册码验证流程,我们搜索”序列号错误,请检查后重新输入!”字符串,定位到关键点。如图4 、图5所示:
图4
图5
将定位到的smali代码转换成java代码分析,如图6所示:
图6
从图6分析可以看出验证注册码是在protected void onCreate(Bundle paramBundle)函数中完成的,首先调用getSeriaNumber(this.sharedPreferences)函数获取真实注册码与用户输入的注册码比较是否相同,相同走正常流程,否则提示“序列号错误,请检查后重新输入!”。
0x02多种方式实现爆破
- 程序每次启动时都会读取isReg.xml文件并且判断“ISREG”项是否为”1”,标志为”1”表示己注册,所以我们可以将isReg.xml文件中的“ISREG”项改成1,或者修改程序中的判断该标志的地方,直接修改跳转。
- 修改验证注册码的地方,直接修改跳转。
- Patch机器码,将机器码固定死。
0x03注册机的编写
- 通过上面分析可以知道它的生成注册码流程为:
a) 获得ANDROID_ID号->将ANDROID_ID号计算得到串码->将计算得到的号与常量字符串” yida1234”拼接->将拼接后的字符串计算得出最终的注册码。
2. 算法直接可以从apk的挖出来使用,代码如下:
1 package com.eoeAndroid.HelloWorld; 2 //download by http://www.codefans.net 3 import android.app.Activity; 4 import android.content.Context; 5 import android.os.Bundle; 6 import android.view.View; 7 import android.widget.TextView; 8 import android.widget.Toast; 9 import android.provider.Settings; 10 import android.widget.Button; 11 import android.text.ClipboardManager; 12 13 14 15 public class ActivityMain extends Activity { 16 /** Called when the activity is first created. */ 17 18 private Button button1; 19 public void onCreate(Bundle savedInstanceState) { 20 super.onCreate(savedInstanceState); 21 setContentView(R.layout.main); 22 TextView tv = new TextView(this); 23 String seriaNumber; 24 25 super.onCreate(savedInstanceState); 26 setContentView(R.layout.main); 27 28 //获得机器码 29 String str = Settings.System.getString(ActivityMain.this.getContentResolver(), "android_id"); 30 31 EncryptionAlgorithm localEncryptionAlgorithm = new EncryptionAlgorithm(); 32 33 //将机器码计算MD5 34 str = localEncryptionAlgorithm.MD5(str); 35 36 str += "yida1234"; 37 38 //计算注册码 39 seriaNumber = localEncryptionAlgorithm.MD5(str); 40 41 tv.setText("注册码: "+seriaNumber); 42 setContentView(tv); 43 44 localEncryptionAlgorithm.copy(seriaNumber, getBaseContext()); 45 Toast.makeText(ActivityMain.this, "注册码已复制到剪贴板", 0).show(); 46 Toast.makeText(ActivityMain.this, "注册码已复制到剪贴板", 0).show(); 47 Toast.makeText(ActivityMain.this, "注册码已复制到剪贴板", 0).show(); 48 49 //--按钮事件 50 51 } 52 } 53 54 package com.eoeAndroid.HelloWorld; 55 56 import java.io.UnsupportedEncodingException; 57 import java.security.InvalidKeyException; 58 import java.security.MessageDigest; 59 import java.security.NoSuchAlgorithmException; 60 import java.security.SecureRandom; 61 62 import javax.crypto.BadPaddingException; 63 import javax.crypto.Cipher; 64 import javax.crypto.IllegalBlockSizeException; 65 import javax.crypto.KeyGenerator; 66 import javax.crypto.NoSuchPaddingException; 67 import javax.crypto.spec.SecretKeySpec; 68 69 import android.content.Context; 70 import android.text.ClipboardManager; 71 72 public class EncryptionAlgorithm { 73 74 public final String PASSWORD = "yida1234"; 75 76 77 public static void copy(String content, Context context) 78 { 79 // 得到剪贴板管理器 80 ClipboardManager cmb = (ClipboardManager)context.getSystemService(Context.CLIPBOARD_SERVICE); 81 cmb.setText(content.trim()); 82 } 83 84 private String parseByte2HexStr(byte[] paramArrayOfByte) 85 { 86 StringBuffer localStringBuffer = new StringBuffer(); 87 for (int i = 0; i < paramArrayOfByte.length; i++) 88 { 89 String str = Integer.toHexString(0xFF & paramArrayOfByte[i]); 90 if (str.length() == 1) { 91 str = '0' + str; 92 } 93 localStringBuffer.append(str.toUpperCase()); 94 } 95 return localStringBuffer.toString(); 96 } 97 98 public String AES(String paramString) 99 { 100 try 101 { 102 KeyGenerator localKeyGenerator = KeyGenerator.getInstance("AES"); 103 localKeyGenerator.init(128, new SecureRandom("yida1234".getBytes())); 104 SecretKeySpec localSecretKeySpec = new SecretKeySpec(localKeyGenerator.generateKey().getEncoded(), "AES"); 105 Cipher localCipher = Cipher.getInstance("AES"); 106 byte[] arrayOfByte = paramString.getBytes("utf-8"); 107 localCipher.init(1, localSecretKeySpec); 108 String str = parseByte2HexStr(localCipher.doFinal(arrayOfByte)); 109 return str; 110 } 111 catch (NoSuchAlgorithmException localNoSuchAlgorithmException) 112 { 113 localNoSuchAlgorithmException.printStackTrace(); 114 return null; 115 } 116 catch (NoSuchPaddingException localNoSuchPaddingException) 117 { 118 for (;;) 119 { 120 localNoSuchPaddingException.printStackTrace(); 121 } 122 } 123 catch (InvalidKeyException localInvalidKeyException) 124 { 125 for (;;) 126 { 127 localInvalidKeyException.printStackTrace(); 128 } 129 } 130 catch (UnsupportedEncodingException localUnsupportedEncodingException) 131 { 132 for (;;) 133 { 134 localUnsupportedEncodingException.printStackTrace(); 135 } 136 } 137 catch (IllegalBlockSizeException localIllegalBlockSizeException) 138 { 139 for (;;) 140 { 141 localIllegalBlockSizeException.printStackTrace(); 142 } 143 } 144 catch (BadPaddingException localBadPaddingException) 145 { 146 for (;;) 147 { 148 localBadPaddingException.printStackTrace(); 149 } 150 } 151 } 152 153 public String MD5(String paramString) 154 { 155 try 156 { 157 MessageDigest localMessageDigest = MessageDigest.getInstance("MD5"); 158 localMessageDigest.update(paramString.getBytes()); 159 byte[] arrayOfByte = localMessageDigest.digest(); 160 StringBuffer localStringBuffer = new StringBuffer(""); 161 for (int i = 0; i < arrayOfByte.length; i++) 162 { 163 int j = arrayOfByte[i]; 164 if (j < 0) { 165 j += 256; 166 } 167 if (j < 16) { 168 localStringBuffer.append("0"); 169 } 170 localStringBuffer.append(Integer.toHexString(j)); 171 } 172 String str = localStringBuffer.toString().substring(8, 24); 173 return str; 174 } 175 catch (NoSuchAlgorithmException localNoSuchAlgorithmException) 176 { 177 localNoSuchAlgorithmException.printStackTrace(); 178 } 179 return ""; 180 } 181 182 183 }
0x04总结
a. 未对代码做混淆或一些其它保护措施容易被反编译分析,应当对app做一些基本的防护手段,比如混淆或加壳,还有重要的shared_prefs文件应该加密存放等。
b. 注册机使用效果。
将注册码粘贴到注册框中
成功注册
样本及注册机与pdf文档下载地址:
http://yunpan.cn/cQJtXdEJvj2ed (提取码:2a61)