Wie idaPro das Lua-Skript zur App-Entschlüsselung analysiert

Durch das vorherige idaPro-Debugging oder Hooking können wir den xxtea-Entschlüsselungsschlüssel erhalten. Zum Signieren können wir die Originaldatei direkt öffnen:

                                                                                                             Zum Signieren können wir die Originaldatei direkt öffnen: Daher können wir versuchen, das xxtea-Entschlüsselungstool zum Entschlüsseln zu verwenden (indem wir den Quellcode auf GitHub abrufen und kompilieren). Am Beispiel von index.luac schauen wir uns die Änderungen in index.luac zuvor an und nach der Entschlüsselung:

​​​Das von xxtea entschlüsselte Lua-Skript ist immer noch kein Klartext! Wir haben zuvor anhand des Quellcodes des Cocos2D-Frameworks und des Master-Apk-Decodierungsergebnisses festgestellt, dass die xxtea-Verschlüsselung verwendet wurde. Das Lua-Skript der App verfügt auch über einen Signaturwert, der ebenfalls bestätigt, dass es sich um die xxtea-Verschlüsselungsmethode handelt, aber das Ergebnis haben wir entschlüsselt ist immer noch kein Klartext, was darauf hinweist, dass die Entschlüsselung möglicherweise nicht vollständig ist. Sie müssen zu idapro zurückkehren, um herauszufinden, ob dies der Fall ist. O Öffnen Sie libgame.so mit IDAPRO, suchen Sie im Exportfenster nach BYDS, suchen Sie die Funktion BYDS_D und doppelklicken Sie auf:

Direkt F5 zeigt den Editorcode an:

Der Code im Quellcode ist gleichwertig. Wenn es noch nicht abgeschlossen ist, sollten Sie die vorherige Ebene dieser Funktion aufrufen, um den Entschlüsselungsprozess fortzusetzen:

aus zwei, davon eine GOT-Tabelle.

ist nur eine Wrapper-Funktion, wir verfolgen weiterhin:

Doppelklicken Sie, um Folgendes einzugeben:

Wir sehen, dass der Name dieser Funktion mit dem Namen xxtea_decrypt im Quellcode identisch ist . Beginn Diese Funktion ist im Durchbruchspunkt enthalten. Jetzt können Sie deutlich sehen, dass das Skript nach der Entschlüsselung durch byds_d wieder dekomprimiert wurde. Das Lua-Skript sollte jetzt komprimiert und verschlüsselt sein. Wenn Sie es also wiederherstellen möchten, sollten Sie es zuerst entschlüsseln mit xxtea und entschlüsseln Sie es dann. Auf GitHub finden Sie ein Skript zum Dekomprimieren von zlib, mit dem sich der entschlüsselte Text dekomprimieren lässt.

Das obige ist der detaillierte Inhalt vonWie idaPro das Lua-Skript zur App-Entschlüsselung analysiert. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!