首页
论坛
课程
招聘
雪    币: 1930
活跃值: 活跃值 (91)
能力值: ( LV6,RANK:85 )
在线值:
发帖
回帖
粉丝

[原创]app隐藏大师绕过密码与多开分析

2020-2-21 16:31 3038

[原创]app隐藏大师绕过密码与多开分析

2020-2-21 16:31
3038
准备工作:jadx反编译另存为gradle导入as,打开monitor方便方法回溯,启动frIDA-server以便hook。
菜鸟最近看到一个app隐藏大师,可以隐藏app和相册图片等,隐身模式是一个绿色的计算器,输入正确的密码后会跳转到隐藏app的页面,感觉很神奇,想分析一下密码认证功能实现的函数和app的创建实现。
首先分析跳转界面,输入正确6位密码后可以直接跳转,否则调用计算功能进行计算,看起来就像个真实的计算器,哈哈,猜测有一个跳转函数,当输入数字为6位时,调用认证函数进行认证,然后通过新建activity跳转到主界面。
然后,我tm就走到了岔路,我不断的搜索intent相关,想找到切换 activity 的地方,找了好几个地方都不对,最终我只能进行方法回溯,寻找关键函数,一步一步追溯源头。

1.追溯密码认证函数

很明显,当text改变时就会进行判断,所以必定有一个对于text监听的afterTextChanged的调用,直接搜索,定位到

com.prism.hider.vault.calculator.Calculator$1.afterTextChanged

public void afterTextChanged(Editable editable) {
    if (Calculator.this.f6590w && editable != null && C3154h.m10228a(editable.length()) && PinCodeCertifier.m10216a((Context) Calculator.this).mo23413a(editable.toString())) {
        Calculator.this.m10160b();
    }
    Calculator.this.m10155a(CalculatorState.INPUT);
    Calculator.this.f6588u.mo23401a((CharSequence) editable, (C3137a) Calculator.this);
}


    public boolean mo23413a(String str) {//这个判断密码,f6652c就是我们设的密码
        return this.f6652c != null && this.f6652c.equals(EncodeUtils.m4661a(str));
    }

这句话就是判断密码调用的地方,如果忘记密码,直接hook这个函数,修改返回值,就可以绕过密码验证了。当然如果有人安装这个app也可以通过hook做坏事,嘿嘿

Calculator.this.f6590w && editable != null// 判断有没有输入

&& C3154h.m10228a(editable.length())//判断输入数字长度

&& PinCodeCertifier.m10216a((Context) Calculator.this).mo23413a(editable.toString())// mo23413a 函数判断密码是否正确

2.追溯界面切换原理

下面定位 m10160b和它的下层函数m10167e, 分析它是如何通过密码实现界面切换的。

com.prism.hider.vault.calculator.Calculator.b()V = m10160b

public void m10160b() {
    if (getIntent() == null || getIntent().getExtras() == null || !getIntent().getExtras().getBoolean(f6568a)) {
        m10167e();
        return;
    }
    Log.d(f6570j, getIntent().toString());
    finish();
}

private void m10167e() {
    String str = f6570j;
    StringBuilder sb = new StringBuilder();
    sb.append("GlobalVaultListener  :");
    sb.append(GlobalVaultListener.f6648a);
    Log.d(str, sb.toString());
    if (GlobalVaultListener.f6648a != null) {
        GlobalVaultListener.f6648a.mo23188c(this);//mo23188c是一个接口实现,好像跟intent无关
    } else {
        Log.d(f6570j, "GlobalVaultListener Not Found");
    }
    this.f6592y = false;
    finish();
}
看了这2个函数,我有点慌,怎么会没有intent切换activity呢,那他是怎么实现界面切换的呢,我当时在这卡了半天,没有找到通过intent启动SplashActivity的地方,又去查了activity堆栈,还是没搞明白,难道这个 SplashActivity 主界面在计算器之前已经启动了,如果判断密码正确,通过finish()退出计算器来到 SplashActivity 吗,那样的话,hook调mo23413a函数直接返回true是通过退出进入 SplashActivity 了,带着疑问,我再次方法回溯,果然,在系统函数performCreate里,同时调用了Calculator和SplashActivity的oncreate方法,也就是说,没有输入密码的时候 SplashActivity已经启动了,会玩,里面的app其实根本就没有加密,密码只是让你绕过了计算器而已。

3.追溯app多开原理

后面我又简单跟了一下,它安装app的方法跟一般的双开应用一样,修改了包名,安装的第一个app的界面是Com.prism.gaia.client.stub.GuestActivityStub$Guest0,后面分别是1234等等。

创建多开应用,并且用方法回溯追踪,从onclick追溯到com.prism.hider.b.l.a(Landroid/view/View;Lcom/android/launcher3/AppInfo;Lcom/android/launcher3/Launcher;Landroid/content/DialogInterface;)V = m9886a这个关键函数

private void m9886a(View view, AppInfo appInfo, Launcher launcher, DialogInterface dialogInterface) {
    AppInfo appInfo2 = appInfo;
    Launcher launcher2 = launcher;
    Workspace workspace = launcher.getWorkspace();
    int[] iArr = new int[2];
    long[] jArr = {-1};
    Iterator it = workspace.getScreenOrder().iterator();
    while (true) {
        if (!it.hasNext()) {
            break;
        }
        long longValue = ((Long) it.next()).longValue();
        String str = f6338a;
        StringBuilder sb = new StringBuilder();
        sb.append("screenid:");
        sb.append(longValue);
        Log.d(str, sb.toString());
        if (launcher2.getCellLayout((long) -100, longValue).findCellForSpan(iArr, 1, 1)) {
            jArr[0] = longValue;
            break;
        }
    }
    if (jArr[0] < 0) {
        workspace.addExtraEmptyScreen();
        jArr[0] = workspace.commitExtraEmptyScreen();
    }
    long j = (long) -100;
    CellLayout cellLayout = launcher2.getCellLayout(j, jArr[0]);
    String str2 = f6338a;
    StringBuilder sb2 = new StringBuilder();
    sb2.append("targetScreen:");
    sb2.append(jArr[0]);
    sb2.append(" targetx:");
    sb2.append(iArr[0]);
    sb2.append(" targety:");
    sb2.append(iArr[1]);
    Log.d(str2, sb2.toString());
    ShortcutInfo makeShortcut = new PromisedGuestAppInfo(appInfo2).makeShortcut();//这里应该就是通过appInfo2创建新的app与shortcut图标
    View createShortcut = launcher2.createShortcut(cellLayout, makeShortcut);//把创建的shortcut图标放到launcher2,也就是自己的launch里
    launcher.getModelWriter().addOrMoveItemInDatabase(makeShortcut, j, jArr[0], iArr[0], iArr[1]);
    makeShortcut.container = j;
    makeShortcut.cellX = iArr[0];
    makeShortcut.cellY = iArr[1];
    workspace.addInScreen(createShortcut, makeShortcut);
    GuestAppStateExtension.m9874a().mo23238b().mo23268a(appInfo2);
    dialogInterface.dismiss();
    workspace.post(new Runnable(jArr) {
        private final /* synthetic */ long[] f$1;

        {
            this.f$1 = r2;
        }

        public final void run() {
            Workspace.this.moveToScreen(this.f$1[0]);
        }
    });
}
容易看出new PromisedGuestAppInfo(appInfo2).makeShortcut()这句应用双开前的appinfo创建新的 PromisedGuestAppInfo 并创建 Shortcut图标,launcher2.createShortcut(cellLayout, makeShortcut)这句把创建的shortcut图标放到launcher2,也就是自己的launch里
这里由于点击了好几个按钮,lamda函数套了几层,贴一下堆栈

com.prism.hider.b.l.a(Native Method)
com.prism.hider.b.l.a(ItemClickHandlerExtensionImpl.java:205)
com.prism.hider.b.l.lambda$1v3PIwaoDBWd6OM-CRLs-RNzmUQ(Unknown Source:0)
com.prism.hider.b.-$$Lambda$l$1v3PIwaoDBWd6OM-CRLs-RNzmUQ.onClick(Unknown Source:10)
com.prism.hider.ui.a.a(AppOperateDialog.java:93)
com.prism.hider.ui.a.lambda$OTuIeTAl3vf4RmjQk_3g0AXegkk(Unknown Source:0)
com.prism.hider.ui.-$$Lambda$a$OTuIeTAl3vf4RmjQk_3g0AXegkk.onClick(Unknown Source:2)
android.view.View.performClick(View.java:6294)
android.view.View$PerformClick.run(View.java:24770)
android.os.Handler.handleCallback(Handler.java:790)
android.os.Handler.dispatchMessage(Handler.java:99)
android.os.Looper.loop(Looper.java:164)
android.app.ActivityThread.main(ActivityThread.java:6494)
java.lang.reflect.Method.invoke(Native Method)
com.android.internal.os.RuntimeInit$MethodAndArgsCaller.run(RuntimeInit.java:440)
com.android.internal.os.ZygoteInit.main(ZygoteInit.java:807)

我们再看一下他的构造函数,很明显就是改了包名和组件名实现多开,就是在之前附加一个gaia_guest_字符串,然后把组件添加进去,结束。

public PromisedGuestAppInfo(AppInfo appInfo) {
    super(appInfo);
    this.packageName = ExtensionPkgUtils.m9976a(appInfo.packageName);// m9976a修改包名和组件名
    this.componentName = new ComponentName(ExtensionPkgUtils.m9976a(this.componentName.getPackageName()), this.componentName.getClassName());
    this.intent = new Intent("android.intent.action.MAIN").addCategory("android.intent.category.LAUNCHER").setComponent(this.componentName).setFlags(270532608);
}

private static final String f6410b = "gaia_guest_.";

public static String m9976a(String str) {
    StringBuilder sb = new StringBuilder();
    sb.append(f6410b);// f6410b = "gaia_guest_.";
    sb.append(str);
    return sb.toString();
}
总结一下,经过这次逆向,学习了这个软件的思路:
1.app入口同时oncreate 2个activity,计算器或者其他干扰界面放在真正的界面前面,输入密码错误就执行干扰界面app功能,输入密码正确就finish干扰界面,这样真正的界面就显示出来。比如说,这里用计算器做干扰界面,你可以用bmi计算器或者单位换算器做干扰界面,这样认识这个软件的人也判断不出来了哈哈
2.多开软件原理,复制安装原app,然后把包名和组件名都改了,系统就会认为这是2个软件了,然后把图标放到真正界面的launcher,实现隐藏

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最后于 2020-2-22 08:50 被挤蹭菌衣编辑 ,原因:
上传的附件:
最新回复 (5)
雪    币: 4774
活跃值: 活跃值 (2520)
能力值: (RANK:65 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-2-21 17:12
2
0
感谢分享~
雪    币: 1930
活跃值: 活跃值 (91)
能力值: ( LV6,RANK:85 )
在线值:
发帖
回帖
粉丝
挤蹭菌衣 活跃值 2020-2-22 17:39
3
0
感谢斑竹大佬顶帖和加优
雪    币: 2112
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xghoecki 活跃值 2020-2-23 12:55
4
1
感谢分享
雪    币: 184
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yueyetu 活跃值 2020-2-23 19:53
5
0
感谢分享~ 
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_izaexbcc 活跃值 2020-3-6 12:03
6
0
感谢分享,学习的榜样
游客
登录 | 注册 方可回帖
返回