2022-10-20更新

最近有些人@我让我教他们教程具体怎么操作，我感到奇怪并问他们怎么回事，因为我没有对外发布过这篇文章，这只是我逆向实战的一个研究记录。然后我发现这个教程已经出现在了很多平台上，这让我感到非常惊讶，因为作者没有在任何论坛或群聊等公开发布过这篇文章。如果那些地方有人称自己是作者，那么他那句话一定是假的。当然如果有人想走一遍教程并且学习相关知识，却碰到教程中的遗漏和错误，欢迎来咨询我（Q1837009039）。但如果你只需要最后的破解结果，那你找错人了，作者不提供破解成品，实在需要的话找那些走教程破解成功的人吧，他们走一遍教程而且弄对也挺不容易的。这篇文章需要你具备一些IDA和Python的知识，如果你不知道这些是什么，可以找除我以外的其他人帮忙。破解适用于版本2.4.0(3327)和当前最新版3.0.0(3328,3330)，但估计下一个版本官方会加入更多的防破解措施，所以如果你很期待APP的新功能的话，我推荐购买正版，花很大劲去整一个盗版软件不值得。而这篇教程也会成为历史，且看且珍惜吧。

之前需要动态调试几个apk，于是准备在电脑上装一个安卓模拟器。但是我需要经常用到wsl，而它需要开启hyper-v功能，众所周知这个功能与大部分的安卓模拟器冲突。一开始我安装了wsa（windows安卓子系统），可惜的是它的兼容性不是很好，而且对于ida的动态调试，经常无法命中断点，而且看不到寄存器的状态，后面又尝试了几个能与hyper-v共存的模拟器，都有类似的问题。我怀疑是android_server的锅，然后拿gdbserver又试了一下，看到了下面的提示信息：

gdbserver也获取不到寄存器，猜测是架构的问题，在电脑上找模拟器这条路就放弃了。

于是我又去试了真机调试，能做到，但还是想要一个能root的设备，所以我安装了vmos pro，在设置中打开网络adb，也能够进行调试。然而vmos的root总感觉怪怪的，我调试apk时，想用gg修改器导出内存，但它始终检测不到root的存在，一直卡在启动界面。然后我去找了其他的虚拟机，发现这个光速虚拟机能正常用root，而且支持magisk和安卓10，这正好能解决打ctf时一些应用SDK版本高于模拟器安卓支持的最高版本导致不能启动的问题。但应用启动时广告很多，而且大部分特性仅限会员，在网上也找不到比较新的破解版，然后就想自己尝试一下，就诞生了这篇文章。

我下载的版本是当前的最新版2.4.0，与上一版本2.3.1相比它新增一个多开管理的功能，于是就想从这个版本入手。先什么也不改，对应用直接签名，结果启动时出现initialize feature fail(51)错误，那应该就有什么验签机制。

用mt管理器自带的去除签名校验处理了一下，发现并不可行。在classes.dex中搜索base64字符串，结果只发现了微信SDK的签名，这个应该不是我们想要的，那验签逻辑应该在native层了。再看一眼Java层代码，发现这个应用并没有进行名称混淆，一些类似isVip字样的方法名十分的显眼：

那么看来过签后vip的破解会比较轻松，于是就想着把验签的逻辑找出来就万事大吉了事实证明我这个想法还是太太太太年轻了。

通过对几个so文件的观察，猜测可能的so有4个：libuserkernel*.so和libVPhoneGaGaLib.so，其他so要么太小，要么名称在网上可以直接搜到（比如libp7zip.so），应该不会有验签逻辑：

其中前者有3个版本，分别是两个32位版和一个64位版（为什么有两个32位版我现在还没弄清楚）。libVPhoneGaGaLib.so文件最大，于是就先从这个so入手。

用IDA打开这个文件，发现代码中布满了这样的操作：

这很明显是字符串加密，随便解了几个，字符串的内容大概有函数的名称，日志文本之类的。然而我们不可能一个个进行处理。经过观察，我发现很多这种加密文本的代码段都有这样的格式：

把一些数放到寄存器中

把寄存器中的数写入栈内

for循环，对字符逐个异或解密，解密方法有两类：x ^= i + c和x ^= c。c是一个常数，i是字符的位置。

可以用这种模式去遍历整个代码段，找到它们的位置，然后用Unicorn模拟执行引擎来解一下：

这个函数的不同时期变量在栈中会重叠，所以一个变量名可能对应好几种意思。函数的逻辑是，抛开token2的前32字节不谈，base64解密token2剩下的部分，然后用0x321196处的der格式证书中的公钥解密token2，如果解密成功，会得到一个||||格式的字符串，然后应用对这个字符串作进一步的分析。由于是RSA，私钥没办法获取，所以必须把0x321196处的证书替换成我们自己的。

Q：为什么不直接改代码让这函数返回1？

A：这里偷了一个懒，如果改.text段，要在三个so中分别找到这个函数的位置，改证书只要调用bytes.find()就可以直接处理三个文件。另一方面，之前修改.text段发现有另一个验证，这个后面再说。

用python生成自己的证书替换掉原证书，然后生成一个我们自己的token2，我发现pythonCrypto库里面竟然没有私钥加密公钥解密的函数？？？然后自己写了一个：

把这个token2放到Java层对应的字段即可。然而重新打包运行发现然并卵。再往后一看，原来后面还有个token2的时间验证，有效期为两天内！于是我们不得不修改.text段了（mmp，证书白做了，isUidValid也白分析了，最终还是得修改.text，逸一时误一世啊），而.text段有另一处验证，没办法继续找吧(＠_＠) 。。。

继续用日志对比大法，把.text段是否修改作为控制变量，最终找到了这个：

根据这个字符串寻找对应的代码，最终找到了xxxVerifyCodeModify(0x13A724)(除了gettime外这里的函数名都是随便起的)：

IsDebuggerPresent会读取/proc/self/status中的TracerPid来检测自身是否被调试：

codeNotModified读取参数二指定的文件，对它的.plt和.text段进行MD5校验，然后与参数三进行对比：

剩下的就简单了，修改返回值或者MD5即可。这里选择了后者，因为在三个libuserkernel*.so中MD5字节可以用python推算出来然后自动修改，而修改返回值得动代码，要分别在三个版本的so中找，挺麻烦的。

这回打包运行终于没问题了，我重新捋一下要破解的位置，写了个完整的脚本，然后再次打包运行，能启动了！！！结果还没高兴30秒应用又崩溃了（′⌒`；）不知道是忽略了什么，但是之前搜签名的SHA1的时候搜到一个奇怪的位置：Engine::DoVerifyLocal(0x1DD984)，它里面除了签名的哈希值外，还有一个设置30秒定时器的操作，与现在的情况比较相符，尝试性的改了一下，然后运行成功。应用打开放着跑了半个小时，终于没有什么奇怪的现象了，只是手动打开登录界面，点击退出登录时（实际上自己并未登录，登录效果是改smali代码改出来的），会提示你充vip。这个是小问题，找到对应xml把那些控件隐藏就OK了。至此，光速虚拟机的破解完结撒花~~

我在逆向时还是走了很多弯路的，尤其是C++的std::string在编译内联后产生的代码，老人地铁手机.jpg：

在这个应用的so中，有大量的这种代码，所以有必要先搞清楚它的结构。std::string的结构是这样的：

sizeof (std::string) == 24。

如果字符串长度（含终止\0）不超过23，那么结构体第一个字节是strlen(s) * 2，剩下的空间用来存放字符串，这样就可以不用在堆上分配内存从而提高效率。

如果字符串长度不满足上述条件，那么结构体最后八字节是指向真正字符串的指针，中间八字节是字符串长度，前八字节是为字符串申请的堆空间的长度加1，由于分配以16字节对齐，所以查看第一字节的第0位是否为1即可区别出字符串是哪一种情况。

数据结构的示意代码：

像开头那段IDA反编译的代码，事实上是把(std::string)var_2F8字符串存储到a1（类指针）的一个成员变量里，乱七八糟的代码是拷贝构造函数内联后的杰作：如果(a1 + 1368) != var_2F8 （肯定不相等，因为a1在堆上，var_2F8反编译时是个数组在栈上，但拷贝构造函数不知道这一点，它只知道两个指针相等就不用复制了。我在开始的时候没看懂这段代码，然后就很迷茫），就把后者调整为const char *指针并传入以它和它的长度为参数的构造函数sub_6F400。所以实际上源码中可能只是一个简单的engine.uidStored = uid;，然后得益于C++函数的内联，生成的代码就成了这副样子。

在逆向时发现的其他奇怪之处：

verifyfunction_doVerifyKernelSignature(0x1D95A8)处，看名称和逻辑猜测也是验证函数，但好像没有任何地方调用它？

Engine::DoVPhoneVerifyLocal(0x1DD984)处，确实是在验签，目前仍不清楚触发条件，只知道修改了libVphoneGaGaLib.so的某处后启动时触发，然而我无法复现不触发的情况了，索性让函数直接返回。

0x174124、0x16F378、0x1D91C4和0x17191C处的函数，对字符串的分析发现它们都与签名/验证有关，然而最后没有修改这几项仍然正常运行，就先不改了吧。

xxxRegisterTimer(0x7B854)，名字随便起的：函数会设置一个定期调用回调函数的定时器，但是最后两个参数都是时间，猜测第一个是第一次调用的间隔时间，第二个是其余调用的间隔时间，但是有几个对此函数的调用逻辑又说不通？

总的来说，这个应用在防破解方面还是做了很多工作的，具体如下：

引擎启动时，直接读取安装包中的META-INF/KEY0.RSA，进行签名的验证（这也就是在Java层拦截签名函数无效的原因）。验证失败则提示initialize feature fail!。

虚拟机启动时，通过lib位置间接获取安装包路径（Java层修改mAppDir劫持路径无效的原因），读取其中的几个关键文件（classes*.dex，AndroidManifest.xml），检查它们的长度和Crc32，检查结果先放入成员变量中，启动后如果发现它为0就不进行画面渲染等等。另一方面，有一个触发时间为启动后、触发条件未知的函数，它也会检测应用签名，如果失败就设置一个延迟时间为30秒的timer，timer回调时应用崩溃。

Java层材料（相关类名是Lcom/vphonegaga/titan/personalcenter/beans/MaterialBean$Material;）包含VIP的特权和过期时间等信息，它会传入libVphoneGaGaLib.so，后者访问https://dcdn.appmarket.api.gsxnj.cn/api2/*.php和https://dcdn.appmarket.api.gsxnj.cn/api/time.php进行联网校验，其中安卓10特权校验成功时才生成输入数据包（触摸事件等等）。另一方面libVPhoneGaGaLib.so会主动获取Java层中包含token2等数据的应用登录信息（相关类名Lcom/vphonegaga/titan/user/User;），然后通过socket发给libuserkernel*.so，token2和时间验证成功后输入数据包才被接受。

libuserkernel*.so中记录了一个时间戳T，初始值为启动时间（猜测）。应用不定期获取时间，当超过T4分钟就发送一条信息给libVPhoneGaGaLib.so要求更新T的值，当超过T5分钟就故意陷入无限等待，这时虚拟机就无法正常使用了。但是，从用户登录起，每过3分钟libVPhoneGaGaLib.so就会主动把token2、uid之类的信息发送给libuserkernel*.so，后者用非对称算法验证token2的有效性，只有合法才会更新T的值。当T更新后，除非再过5分钟，否则不会停机，而如果libVPhoneGaGaLib.so一直每隔3分钟发送正确的信息，那么停机永远不会触发，虚拟机就正常运行了。草，什么摇篮系统

libuserkernel*.so有ptrace反调试和运行时代码验证：用自身的.plt和.text段计算MD5，并与.data段中某处的值做对比，有差别就陷入无限等待，导致虚拟机启动一直卡在0%处。

应用的代码很多，而且很多验证失败的现象并不能提供什么线索，加上代码是C++编译的，关键函数并不好找。然而写入日志的符号信息让逆向分析难度降低了不少，上面的破解思路基本上是围绕着日志输出展开的。如果应用对日志采用了很复杂的加密方法，或者说对关键代码使用了ollvm，vmp之类的手段加固的话，逆向分析难度还是很大的。

因特殊原因，这里把具体的修改位置删掉了。逆向时遇到问题可以私聊。

把改好的4个so与原so替换，然后就可以优雅地对应用进行签名了，最后附上安卓10面具安装成功的效果图：