让全国高校沦陷的 送给最好的TA 是什么?

原创 admin  2019-09-27 19:15  阅读 30 views 次 评论 0 条

一时间一款手机软件成功传播各大高校,成为学生之间的恶搞之物,这背后到底是怎么一回事?是道德的沦丧,还是人性的扭曲!

送给最好的ta是什么

在往常一样的普通课堂上,响亮的娇喘声打破了原本的宁静,一场恶作剧正在个高高校上演。一款名为“送给最好的TA”的手机APP在安装后,会自动播放娇喘声音,且无法调音量,无法关机。最终有同学为了保全名誉,只能当场掰断手机。因为事件发生在9月27日,因此这一些列事件被大家称之为“927事件”。

网上也有大佬马上给出了这款APP的运行原理,转载自吾爱破解XhyEax

有人传了个apk文件,名字叫送给最好的TA。这是一个整人app,安装并打开会播放一段音频,并循环调节媒体音量,维持最大值。从后台划掉/卸载/关机都可以解决

apk分析

拿到样本之后,别急着安装运行,先看看它的目录结构。

打开assets文件夹,看到有一个mp3文件以及两个加密后的lua脚本:

运行app后会自动播放这个音频文件,先对它进行替换。

这里使用AU对该mp3进行了静音处理。

(其实可以替换成自己想要播放的音频,重打包签名即可)。

找到加载lua的关键函数

众所周知,lua脚本需要加载,而在加载之前肯定是要先解密的,所以只要找到解密函数,然后就可以把解密后的lua脚本dump出来。

使用IDA打开libluajava.so,经过分析找到函数luaL_loadbufferx

luaL_loadbufferx的第二个参数是加密的字节数组,第三个参数是大小,第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方,其中对脚本进行了解密操作。

根据第四个参数我们可以区分目前加载的lua脚本名称,从而选择性地dump

(即在函数开头下断点,查看第四个参数内容)

luaL_loadbufferx函数伪代码如下:

首先对输入的字节数组进行判断,如果以1B开头,且第二位不是0C,则进行解密操作,否则直接调用j_lua_load加载lua脚本

在第41行下断点即可获取到解密后的字节数组,从而dump

动态调试进行dump

IDA在第41行断下之后,运行python脚本dump即可

import idaapidata = idaapi.dbg_read_memory(0xf4daff00, 0x3000)fp = open('d:dump.lua', 'wb')fp.write(data)fp.close()

此处的0xf4daff00, 0x3000需要替换成起始地址和长度

长度写大一点也没事,可以再用010Editor删除(所以我这写的0x3000)

分析lua

由于解密出来的lua也不是源码形式,而是字节码,所以脚本逻辑看起来没那么轻松,但也不是不能理解。

主要功能在main.lua中完成:

大致看了一下,其实就是播放音频和循环调节媒体音量,并拦截了返回键。

主要功能其实跟以前那个叫目力的app差不多。(不过今天这个apk的音频就太那啥了...)


本文地址:https://blog.x5mgc.com/654.html
关注我们:请关注一下我们的微信公众号:扫描二维码MGC的公众号,公众号:gezihouse
版权声明:本文为原创文章,版权归 admin 所有,欢迎分享本文,转载请保留出处!
NEXT:已经是最新一篇了

发表评论

您必须 登录 才能发表留言!