前言

之前分析完師兄給的apk后，師兄給了下一個(gè)目標(biāo)，說這是一個(gè)取證比賽的例題，涉及到密碼學(xué)解密。但是因?yàn)楸救诉@方面比較薄弱，所以在解題的時(shí)候，就用到了objection-一個(gè)基于frida的工具，動(dòng)態(tài)調(diào)試的時(shí)候非常好用。

標(biāo)題的FO指的就是這個(gè)objection,因?yàn)槿看虺鰜硖L(zhǎng)了。

參考文獻(xiàn):<>

正文

這里本人用到的模擬器是夜神模擬器，但是這里在之后動(dòng)態(tài)調(diào)試的時(shí)候遇到了一個(gè)bug,adb特別容易在調(diào)試的時(shí)候下線。網(wǎng)上查了一下資料，需要將目錄的adb換成原生adb,nox_adb改成nox_adb_bf.這樣就可以解決這個(gè)問題了。

拿到文件之后，發(fā)現(xiàn)有一個(gè)加密過后的db文件，還有一個(gè)apk,想來解密方法就是在這個(gè)apk當(dāng)中。

這里把a(bǔ)pk先放到模擬器中安裝。

把a(bǔ)pk放入android killer中，查看源碼。

可以看到db后綴名，這里進(jìn)行了一個(gè)跟文件有關(guān)的操作，后續(xù)又調(diào)用了其他的類，進(jìn)入該類中查看。

可以看到這里又調(diào)用了b的方法。

結(jié)合第一個(gè)入口文件，可以得知這里是經(jīng)過了幾步運(yùn)算得出解密的密鑰，但是因?yàn)楸救诉@方面的知識(shí)比較薄弱，所以不準(zhǔn)備直接解密（師兄說他是直接解的),這里用到的是objection進(jìn)行調(diào)試。

objection是一個(gè)基于frida的工具，需要先安裝frida和對(duì)應(yīng)版本的server.

安裝過程如下:

pip3 install objection

這里這一步會(huì)直接幫忙把frida和frida-tools安裝掉，接著去把對(duì)應(yīng)的frida-server安裝上傳至模擬器就行。

adb push frida-serverxxxxx /data/local/tmp

chmod 777 frida-server

./fridaserver

這里的思路就是利用hook這個(gè)getWritableDatabase函數(shù)，然后將這個(gè)函數(shù)的參數(shù)動(dòng)態(tài)打印出來就行。（因?yàn)橐驗(yàn)榻?jīng)過解密函數(shù)，最后傳進(jìn)去的就是明文的口令).

這里先查看一下進(jìn)程

frida-ps -R

可以看到這里是美美亞亞目標(biāo)進(jìn)程。

objection -g 美美亞亞 explore,對(duì)進(jìn)程進(jìn)行注入。

android hooking search methods getWritableDatabase.

之后再執(zhí)行這個(gè)命令，找到getWritableDatabase這個(gè)函數(shù)，對(duì)其進(jìn)行watch.

android hooking watch class_methodnet.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase --dump-args --dump-backtrace --dump-return

對(duì)這個(gè)函數(shù)進(jìn)行監(jiān)控。

之后再重新調(diào)用這個(gè)app,重新加載這個(gè)函數(shù)，就會(huì)發(fā)現(xiàn)口令被打印出來了。

這里再用sqlitebrowser打開這個(gè)db文件利用那個(gè)口令，發(fā)現(xiàn)這個(gè)就是正確的。

電子取證

圖形化內(nèi)存分析工具

取證|偽加密zip解密方法

游戲黑灰產(chǎn)識(shí)別和溯源取證

內(nèi)存取證|Volatility大殺器

內(nèi)存取證之Volatility從0到1

溯源取證|微信數(shù)據(jù)庫解密教程

奪取應(yīng)用程序的“制空權(quán)”：內(nèi)存數(shù)據(jù)

審核編輯 ：李倩