免责声明：内容仅供学习参考，请合法利用知识，禁止进行违法犯罪活动！

内容参考于：图灵Python学院

工具下载：

链接：https://pan.baidu.com/s/1bb8NhJc9eTuLzQr39lF55Q?pwd=zy89

提取码：zy89

复制这段内容后打开百度网盘手机App，操作更方便哦

上一个内容：28.安卓逆向2-frida hook技术-逆向os文件（一）

ida不同版本反编译的伪代码有点差异，下方是ida7.0版本，它反编译的伪代码没有ida9.0好

ida9.0安装看这个大哥写的：https://mrx.hk/posts/f66fa9e6643dec79c46f35361986b601

上一个内容通过找sign参数，发现它的加密是在so文件中，然后又去找了so文件，然后so文件使用c/++写的，然后就需要一个工具对它进行逆向，工具叫做IDA，接下来就开始下载和使用ida

地址：https://52pojie.cn/thread-1874203-1-1.html

注意要下载，后面带Hex-Rays的，这表示有Hex-Rays插件，这个插件可以生成伪代码

下载完后双击下图红框

双击之后，然后点击Next

然后继续Next

继续Next

Password是qY2jts9hEJGy，继续Next

然后选择一个安装目录，选择完点击Next

然后创建桌面图标，然后Next

然后Install

等待安装完成

安装完成，勾选LaunchIDA然后点击Finish

 它的图标，32-bit是用来分析32位的so文件，64位的是用来分析64位的so文件，如果用32位的查看64位的会打不开

然后点击下图红框

点击Finish后

然后点击ok

然后点击go

然后就打开了

然后把so文件拖到上图的窗口中后，如下图直接点ok，用默认的就可以

然后就把文件反编译好了

然后按空格可以展示成下图的样子

如果上图中的窗口不小关闭了，可以在下图位置找

如果窗口乱了

可以点击下图Reset desktop位置恢复

上一个内容中调用了wtf文件中的getSign方法，接下来找一下这个方法，鼠标左键单机下图红框位置

然后按CTRL+F，就会出现下图红框的东西

然后输入getSign，如下图就找到了getSign方法

然后双击下图红框位置就能跳转过去了

双击之后进入getSign方法里

然后按F5，就给它编程成了，c语言代码，注意如果下载的ida没有 Hex-Rays 插件这一步没办法做到，所以一定要下载带 Hex-Rays 插件的

然后开始分析，分析直接给ai，让ai写分析，分析完注释，这里的ai用的豆包，也可以使用ai把下方的代码还原成Python代码

/*** JNI函数：Java_cn_thecover_lib_common_manager_SignManager_getSign* 功能：生成API请求签名（带入参数：account="accccc", token="", timestamp="1235"）* 核心逻辑：双重MD5加密 + 参数拼接，最终返回大写签名*/
jstring __fastcall Java_cn_thecover_lib_common_manager_SignManager_getSign(JNIEnv *env, jclass obj, jstring account, jstring token, jstring timestamp)
{// 输入参数固定值：// account = "accccc"（用户账号）// token = ""（令牌，此处为空字符串）// timestamp = "1235"（时间戳）jstring v5; // 最终返回的签名字符串_jstring *v6; // 从Java获取的应用签名（假设为"appSecret123"）char *v7; // 应用签名的UTF-8格式（"appSecret123"）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> >::value_type *__rhs; // 账号的UTF-8值（"accccc"）char *v9; // 令牌的UTF-8值（""）char *v10; // 时间戳的UTF-8值（"1235"）JNIEnv *v11; // 暂存JNI环境指针const char *v12; // 最终签名的C字符串_jmethodID *v13; // 静态方法getAppSign的ID_jclass *v14; // Java类LogShutDown的引用jstring v15; // 暂存timestamp参数（"1235"）jstring v16; // 暂存token参数（""）jstring v17; // 暂存account参数（"accccc"）_jstring *v18; // 临时生成的Java字符串char v19; // 待加密字符串的临时副本char v20; // 第二次MD5加密的结果std::__ndk1::string result; // 最终签名（第二次MD5大写结果）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> > __lhs; // 第一步拼接结果std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char> > v23; // 第二步拼接结果std::__ndk1::string encrypt; // 最终待加密的完整字符串char v25; // 应用签名的临时存储（"appSecret123"）char v26; // 应用签名的MD5结果（假设为"9A0A82F06B516634C4394A7E9072264D"）std::__ndk1::string appsignMd5result; // 应用签名MD5的最终值（"9A0A82F06B516634C4394A7E9072264D"）JNIEnv *enva; // 暂存JNI环境指针__int64 v29; // 栈保护Cookie（防溢出）// 保存栈Cookie（用于函数结束时校验栈完整性）v29 = *(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);enva = env;v17 = account;v16 = token;v15 = timestamp;// 步骤1：查找Java类LogShutDown（用于获取应用签名）v14 = (_jclass *)_JNIEnv::FindClass(env, "cn/thecover/lib/common/utils/LogShutDown");if (v14) // 类查找成功{// 步骤2：获取类中静态方法getAppSign()的ID（方法签名：()Ljava/lang/String;）v13 = (_jmethodID *)_JNIEnv::GetStaticMethodID(enva, v14, "getAppSign", "()Ljava/lang/String;");if (v13) // 方法ID获取成功{// 步骤3：调用静态方法获取应用签名（假设返回"appSecret123"）v6 = (_jstring *)_JNIEnv::CallStaticObjectMethod(enva, v14, v13);// 步骤4：将Java字符串转为C的UTF-8格式（"appSecret123"）v7 = (char *)_JNIEnv::GetStringUTFChars(enva, v6, 0LL);// 步骤5：将应用签名存入C++字符串（v25 = "appSecret123"）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::basic_string<decltype(nullptr)>(&v25, v7);// 步骤6：对应用签名做MD5加密（v26 = MD5("appSecret123") = "9A0A82F06B516634C4394A7E9072264D"）md5((const std::__ndk1::string *)&v25, (std::__ndk1::string *)&v26);// 步骤7：MD5结果转大写（保持"9A0A82F06B516634C4394A7E9072264D"，因MD5本身大写）toUpperCase(&v26);// ######################## ida问题说明 ########################// 这里应该有一步向 appsignMd5result 中添加v26的数据，这应该由于ida的问题给省略了，这个是问ai没有看到appsignMd5result赋值// 到后面 appsignMd5result 怎么就等于 9A0A82F06B516634C4394A7E9072264D了// 然后结合这里的代码很奇怪，上方调用getAppSign方法得到了一个数据，然后进行了MD5加密，加密完紧着就调用basic_string释放了内存// 并没有使用这个数据，这就很不正常，这里就可能在代码编译的时候进行了优化，然后ida反编译的时候就出错了// ######################## ida问题说明 ########################// 步骤8：释放临时变量（v25、v26完成使命）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v26);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v25);// 步骤9：将输入参数转为C的UTF-8格式__rhs = (std::__ndk1::basic_string::value_type *)_JNIEnv::GetStringUTFChars(enva, v17, 0LL); // __rhs = "accccc"（account）v9 = (char *)_JNIEnv::GetStringUTFChars(enva, v16, 0LL); // v9 = ""（token）v10 = (char *)_JNIEnv::GetStringUTFChars(enva, v15, 0LL); // v10 = "1235"（timestamp）// ######################## 核心拼接过程 ########################// 规则：appsignMd5result（应用签名MD5） + account + token + timestamp// 拼接步骤1：appsignMd5result + account// 输入：appsignMd5result = "9A0A82F06B516634C4394A7E9072264D"，__rhs = "accccc"// 输出：__lhs = "9A0A82F06B516634C4394A7E9072264Daccccc"std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&__lhs, &appsignMd5result, __rhs);// 拼接步骤2：上一步结果 + token// 输入：__lhs = "9A0A82F06B516634C4394A7E9072264Daccccc"，v9 = ""// 输出：v23 = "9A0A82F06B516634C4394A7E9072264Daccccc"（因token为空，结果不变）std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&v23, &__lhs, (const unsigned __int8 *)v9);// 拼接步骤3：上一步结果 + timestamp// 输入：v23 = "9A0A82F06B516634C4394A7E9072264Daccccc"，v10 = "1235"// 输出：encrypt = "9A0A82F06B516634C4394A7E9072264Daccccc1235"（最终待加密字符串）std::__ndk1::operator+<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>(&encrypt, &v23, (const unsigned __int8 *)v10);// ######################## 拼接结束 ########################// 步骤10：释放拼接过程的临时变量（__lhs、v23完成使命）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v23);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&__lhs);// 步骤11：将待加密字符串复制到临时变量（v19 = encrypt = "9A0A82F06B516634C4394A7E9072264Daccccc1235"）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::basic_string(&v19, &encrypt);// 步骤12：对完整字符串做第二次MD5加密（v20 = MD5("9A0A82F06B516634C4394A7E9072264Daccccc1235")）md5((const std::__ndk1::string *)&v19, (std::__ndk1::string *)&v20);// 步骤13：第二次MD5结果转大写（最终签名值）toUpperCase(&v20);// 步骤14：释放临时变量（v19、v20完成使命）std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v20);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&v19);// 步骤15：释放输入参数的UTF-8资源（避免内存泄漏）_JNIEnv::ReleaseStringUTFChars(enva, v17, (const char *)__rhs); // 释放account_JNIEnv::ReleaseStringUTFChars(enva, v16, v9); // 释放token_JNIEnv::ReleaseStringUTFChars(enva, v15, v10); // 释放timestamp_JNIEnv::ReleaseStringUTFChars(enva, v6, v7); // 释放应用签名// 步骤16：删除JNI本地引用（释放类和方法的引用）_JNIEnv::DeleteLocalRef(enva, &v6->0);_JNIEnv::DeleteLocalRef(enva, &v14->0);// 步骤17：准备返回结果（result = 最终签名值）v11 = enva;v12 = (const char *)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::c_str(&result);// 步骤18：将C字符串转为Java的jstring类型v18 = (_jstring *)_JNIEnv::NewStringUTF(v11, v12);// 步骤19：释放剩余临时变量std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&result);std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&encrypt);v5 = (jstring)std::__ndk1::basic_string<char,std::__ndk1::char_traits<char>,std::__ndk1::allocator<char>>::~basic_string(&appsignMd5result);}else // 方法ID获取失败{_JNIEnv::ExceptionDescribe(enva); // 打印异常_JNIEnv::ExceptionClear(enva); // 清除异常状态__android_log_print(4LL, "theCover", "find md5mtd error"); // 日志提示方法查找失败v5 = (jstring)_JNIEnv::NewStringUTF(enva, "wtf"); // 返回错误标识v18 = v5;}}else // 类查找失败{__android_log_print(4LL, "theCover", "find class error"); // 日志提示类查找失败_JNIEnv::ExceptionDescribe(enva);_JNIEnv::ExceptionClear(enva);v5 = (jstring)_JNIEnv::NewStringUTF(enva, "wtf"); // 返回错误标识v18 = v5;}// 校验栈完整性（若栈未被破坏，返回v18；否则返回异常值）if (*(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40) == v29)v5 = v18;return v5; // 返回最终签名（或错误标识"wtf"）
}

到这就把这个方法分析了，然后接下来就开始使用fridahook它们

---