FuckRunning — 从跑步到 Xposed 实战

现在越来越多的高校开始使用一些所谓数字化校园的应用来管理学生工作,很多同学被要求安装手机应用来记录跑步状况,完成任务才可以通过体育期末考试。笔者通过本文,以“运动世界校园”为实例,将为你展示 Android 平台的反编译和使用 Xposed 框架进行 Hook 软件。

一、分析软件工作原理

以“运动世界校园”为例,通过使用此应用一段时间,可以总结出以下特点:

  1. 软件和后台使用API进行交互,在早期版本中API没有鉴权导致可以通过伪造请求来完成跑步,但是后期API迭代了好几个版本,目前认为现在的请求需要间隔一个合理的时间差(跑步时间),而且需要计算一个token用来鉴权,避免了伪造请求。
  2. 跑步开始和跑步完成时,会记录时间、设备序列号、IMEI等敏感信息,上传服务器。此操作用来记录手机设备唯一性,用来检测频繁换手机,一台设备上登陆不同账号的代跑行为。
  3. 使用百度地图API,通过GPS和由百度提供的LBS服务进行定位,软件中的配速,通过定位速度来计算。
  4. 软件中用来评价跑步是否合格的步频,通过加速度传感器和计步器来获取数据。(后期发现计步器部分的代码完全没有发挥作用)
  5. 软件检测Root但不会影响跑步,目前软件通过检测Xposed Installer来检测Xposed框架,当检测到存在时,会禁止开始跑步。(代码中还有通过JNI方式检测Xposed框架的代码但是笔者的版本中这段代码被注释)

二、HOW TODO

Xposed框架操作简单,模块写起来也简单得多,通过Hook系统传感器和GPS就可以达到模拟步频和定位的效果,但是软件目前会检测Xposed,所以需要反编译应用,把检测方法干掉。

三、反编译应用

我前后反编译了软件的两个版本,1.x和2.x功能变化不大,只是UI有一部分变化。通过EDEX对代码进行解包,发现应用套了壳。1.x版本使用360加固,2.x版本使用网易云盾(原网易云加固)对应用进行了加密。

通过查找相关资料,我在看雪论坛发现了一篇文章,文章说的很简略,其实原理很简单,是Dalvik虚拟机模式下基于Android运行时的内存dex文件的dump。这种方法比手撕汇编门槛低得多,比较适合菜的逆向升级人(比如我。

于是通过Hook Android系统的类加载DexClassLoader,获取到了应用真实的dex。(这连EDEX都省了)然后转换为jar拆包查看需要Hook的函数。通过搜索功能,很容易就能看到检测Xposed框架的方法。

四、编写Xposed模块

这地方不进行太多赘述,我主要的目的主要有两个,一个是干掉检测Xposed的代码,另一个是Hook系统加速度传感器的数据,模拟跑步时的数据波动。至于模拟GPS,暂时我选择了使用MockLocation的权限来做。(模拟位置没写完,我在使用的时候使用的是别人的模拟位置应用)

下面贴出主要代码:

目前该应用已在GitHub上开源,地址为LIznzn/FuckRunning,由于时间仓促,只实现了基础功能,给大家以学习和参考,同时也欢迎大佬来完善本项目。(我一直觉得步频算法好几把炫酷)

参考资料:

发现一个安卓万能脱壳方法

Dalvik模式下基于Android运行时类加载的函数dexFindClass脱壳

2 条评论

昵称
  1. pup

    求教怎么使用 😥

  2. 初音喵喵喵

    求反编译后的代码