首页
论坛
课程
招聘
[逆向分析] [工具脚本] [原创]数字猫小说阅读软件分析
2021-2-27 16:10 6064

[逆向分析] [工具脚本] [原创]数字猫小说阅读软件分析

2021-2-27 16:10
6064

背景

市面上很多小说阅读软件,这些小说软件美其名曰免费,实际上翻两页就是一大段广告,十分影响阅读体验,本篇文章通过数字猫小说软件入手,对其进行去广告以及相关算法分析。

去广告

软件没加壳,直接用JEB载入,通过搜索“AD”之类定位广告:
相关函数符号还没混淆:
isVideoRewardExpire判断看广告视频的阅读奖励是否过期,这里直接返回false。

 

还有一处也是类似的逻辑:

用apklab直接找到相关函数修改之

修改结果如下:

为了方便抓包,移除SSL证书绑定:

经过测试,APK还有签名校验,在so里面,直接把2该为1即可过掉该校验:

重打包,可以看到,广告已经去掉了:

小说下载器

光是去广告就完了吗?对于20年的书虫来说还不够,有时我想在kindle上阅读该小说,所以我决定做一个简陋的下载器。

抓包

有两个包十分关键,第一个包获取章节信息,包括章节名称和id等。可以看到请求都有签名sign字段。

第二个包是获取小说下载地址

下载过来是一个压缩包,打开发现里面都是以章节id命名的txt文件,很明显还加密过了:

思路很清晰了,先搞定sign算法,再搞定小说书籍解密算法。

sign算法

先通过JEB定位sign算法的地方,发现这个函数最终还是调用了so里面的函数:

先用frida hook该函数,打印下日志,看看传参是啥,脚本如下:

1
2
3
4
5
6
7
8
9
10
Java.perform(function () {
    var Encryption = Java.use('com.qimao.qmsdk.tools.encryption.Encryption');
    Encryption.sign.implementation = function () {
        var s = arguments[0];
        var r = this.sign(s)
        send('sign:    '+s+' result:    '+r);
        return r;
 
    }
});

很明显,传入的是HTTP的get或者post参数,参数key按升序排列。

为了分析sign算法,定位到了so里面的处理逻辑,把key append到字符串结尾,再求md5

这里我直接在memcpy打个断点,用IDA连上去查看key,当然也可以继续用frida hook。

好的,现在已经成功获取到sign的key,直接写出相关sign算法如下:

1
2
3
4
5
6
7
8
def getsign(param_dict):
    sign_key='d3dGiJ**********'
    before_sign = '';
    for key in sorted(param_dict):
        before_sign += f'{key}={str(param_dict[key])}'
    before_sign+=sign_key
    sign=MD5.new(before_sign.encode('utf8')).hexdigest()
    return sign

小说数据解密

搞定了sign算法之后,开始分析小说数据的解密算法。
解密算法也在so里面,但是回调了java层里面的AES解密算法

java算法如下,把数据base64解密后,取前16个字节作为IV,传入的key直接作为AES-CBC的解密密钥进行解密:

这里继续用frida hook:

1
2
3
4
5
6
7
8
9
10
11
Java.perform(function () {
    var AESManager = Java.use('com.km.encryption.aes.AESManager');
    AESManager.decrypt.overload('java.lang.String', 'java.lang.String').implementation = function () {
        var s = arguments[0];
        var k = arguments[1];
        var r = this.decrypt(s,k)
        send('decrpt book:    '+s+' key:    '+k);
        return r;
 
    }
});

通过日志直接获取aes解密密钥,经过测试,不同的小说解密密钥都是一样的:

解密算法如下:

1
2
3
4
5
6
7
8
def decrypt_chapter(s):
    aes_key=b'242ccb**********'
    iv_enc_data=base64.b64decode(s)
    aes_iv=iv_enc_data[0:16]
    enc_data=iv_enc_data[16:]
    unpad = lambda s: s[:-ord(s[len(s) - 1:])]
    aes=AES.new(aes_key,AES.MODE_CBC,aes_iv)
    return unpad(aes.decrypt(enc_data))

放在一起

下载器源码如下,关键地方已经和谐处理:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
import requests
import base64
import string
import zipfile
import time
import json
import io
from Crypto.Hash import MD5
from Crypto.Cipher import AES
def getsign(param_dict):
    sign_key='d3dGiJ**********'
    before_sign = '';
    for key in sorted(param_dict):
        before_sign += f'{key}={str(param_dict[key])}'
    before_sign+=sign_key
    sign=MD5.new(before_sign.encode('utf8')).hexdigest()
    return sign
 
def decrypt_chapter(s):
    aes_key=b'242ccb**********'
    iv_enc_data=base64.b64decode(s)
    aes_iv=iv_enc_data[0:16]
    enc_data=iv_enc_data[16:]
    unpad = lambda s: s[:-ord(s[len(s) - 1:])]
    aes=AES.new(aes_key,AES.MODE_CBC,aes_iv)
    return unpad(aes.decrypt(enc_data))
 
def qm_get(url,params,headers=None):
    if not headers:
        headers = {
        'app-version':'50810',
        'platform':'android',
        'reg':'0',
        'AUTHORIZATION':'',
        'application-id':'com.****.reader',
        'net-env':'1',
        'channel':'unknown',
        'qm-params':'',
        }
    headers.update({"sign": getsign(headers)})
    params.update({"sign": getsign(params)})
    res = requests.get(url,params=params,headers=headers,verify=False)
    return str(res.text)
def get_book_download_url(bookid):
 
    download_url = 'https://api-bc.****.com/api/v1/book/download'
    params = {
      'source' : '1',
      'type' : '1',
      'id':bookid,
    }
    book_dl_info=json.loads(qm_get(download_url,params))
    return book_dl_info['data']['link']
def get_chapter_list(bookid):
    chapter_url = 'https://api-ks.****.com/api/v1/chapter/chapter-list'
    params = {
      'is_all_update' : '0',
      'id':bookid,
    }
    chapter_list=json.loads(qm_get(chapter_url,params))
    return chapter_list['data']['chapter_lists']
 
 
def get_book_data(link):
    res=requests.get(link,verify=False)
    return res.content
 
 
 
if __name__=="__main__":
 
    logo='''
 
    '''
    print(logo)
 
    book_id=198241
    with open(str(book_id)+'.txt','wb+') as fd:
        download_link=get_book_download_url(book_id)
        chapter_list=get_chapter_list(book_id)
        chapter_list.sort(key=lambda x:x['chapter_sort'])
        #print(chapter_list)
        book_data=get_book_data(download_link)
        book_file = io.BytesIO(book_data)
        with zipfile.ZipFile(book_file) as zip_ref:
            for chapter_info in chapter_list:
                chapter_id=chapter_info['id']
                with zip_ref.open(chapter_id+'.txt', "r") as fo:
                    data=fo.read()
                    chapter_data=decrypt_chapter(data)
                    print(chapter_data)
                    fd.write(chapter_info['title'].encode('utf8')+b'\r\n'+chapter_data)
 
 
    print('------------------------------------------------------------------------------------------------')
    print('[+]解密完成!!!!!')

效果如下:

 

结语

通过以上分析,该软件基本的加固都没有,所以能很容易定位关键点,分析逻辑,而且在本人分析时候发现该软件阅读时间不够还能直接领取金币奖励,当然这是后话了。
好了就到这里了,我去看歪嘴龙王了


第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞2
打赏
分享
最新回复 (9)
雪    币: 15789
活跃值: 活跃值 (14050)
能力值: (RANK:75 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2021-2-27 16:21
2
0

感谢分享!666~~

最后于 2021-2-27 16:22 被Editor编辑 ,原因:
雪    币: 553
活跃值: 活跃值 (755)
能力值: ( LV7,RANK:113 )
在线值:
发帖
回帖
粉丝
零加一 活跃值 2021-2-27 16:35
3
0

雪    币: 291
活跃值: 活跃值 (434)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
darbra 活跃值 2021-2-27 16:37
4
1
sign_key='******c651gSQ8w1' 哈哈哈
雪    币: 913
活跃值: 活跃值 (968)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lhxdiao 活跃值 2021-2-27 19:24
5
0
seven猫占领了各种应用商店阅读应用的广告位,盈利是真的靠广告的吗?
雪    币: 0
活跃值: 活跃值 (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Runope 活跃值 2021-3-6 15:32
6
0
这是用啥软件抓的包,界面看的比charles和fiddler舒服多了
雪    币: 6934
活跃值: 活跃值 (5143)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
wmsuper 活跃值 3 2021-3-6 18:43
7
0
Runope 这是用啥软件抓的包,界面看的比charles和fiddler舒服多了
fiddler anywhere
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
万里星河 活跃值 2021-3-7 13:50
8
0
没找到到签名检验的so
雪    币: 471
活跃值: 活跃值 (176)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
听风不是雨 活跃值 2021-3-30 19:49
9
0
是怎么定位到sign算法的地方?
雪    币: 334
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
同志们好啊 活跃值 2021-3-30 22:14
10
0
问题是没啥好看的东西.
游客
登录 | 注册 方可回帖
返回