Andriod 破解之道(一)

本文涉及的产品
阿里云百炼推荐规格 ADB PostgreSQL,4核16GB 100GB 1个月
简介: Android,劫持底层接口模拟用户输入行为

# 前言

在Root前提下,我们可以使用Hooker方式绑定so库,通过逆向方式篡改数值,从而达到所谓破解目的。然而,目前无论是软件加固方式,或是数据处理能力后台化,还是客户端数据真实性验证,都有了一定积累和发展,让此“懒技术”不再是破解修改的万金油。再者,阅读汇编指令,函数指针替换,压栈出栈等技术需要一定技术沉淀,不利于开发同学上手。

两年前,也是因为懒,很懒,非常懒,堆积了足够的动力,写了一个基于人工模拟方式,对一个特定规则的游戏进行暴力破解。我们都知道,人工模拟方式,绕过了大量防破解技术,只要还是人机交互模式,并且满足一定的游戏规则,基本是无法防御的。

以下是一段技术应用视频,以便大家对文章有个初步认识:

大家能够看到,这段一分钟的视频,在50秒的时候就刷爆了游戏分数上限,足见此技术能力并不亚于传统的Hooker篡改内存地址方式。


技术实现原理

因涉及到安全方面的考量,本文主要围绕技术实现原理和关键技术点进行阐述。

技术要求:

  1. 支持多分辨率
  2. 支持多点触摸
  3. 支持输入速率动态变更
  4. 处理能力峰值需要达到30fps

实现方式分三步:

  1. 劫持屏幕
  2. 分析数据
  3. 模拟输出


1.劫持屏幕

先说说劫持屏幕,做过截屏功能的同学应该清楚,Root了之后能访问设备“dev/graphic”文件夹,里面有fb0, fb1, fb2三个screen buffer文件。这里用到的是fb0文件。

抛出一个问题,当前主流屏幕分辨率都在1920*1080区间,一张图片的缓存能去到2M左右,要达到30fps的性能指标,光是屏幕数据的读写耗时,就满足不了要求。怎么做呢?

一般在做图像处理的时候都会想到parallel programming。然而,这里的图片是时间相关的,不适宜采用多线程任务派发。

懒人一番思量后,发现一条捷径,共享内存读取,请看以下代码。

mapbase = mmap(0, **mapsize, PROT_READ, MAP_SHARED, fd, offset);

这行代码广泛存在于各个截屏代码片段中,精髓在于PROT_READ 和 MAP_SHARED上。先科普一下mmap参数中这两个参数吧。

prot : 映射区域的保护方式。可以为以下几种方式的组合:

  • PROT_EXEC 映射区域可被执行
  • PROT_READ 映射区域可被读取
  • PROT_WRITE 映射区域可被写入
  • PROT_NONE 映射区域不能存取

flags : 影响映射区域的各种特性。在调用mmap()时必须要指定MAP_SHARED 或MAP_PRIVATE。

  • MAP_FIXED 如果参数start所指的地址无法成功建立映射时,则放弃映射,不对地址做修正。通常不鼓励用此旗标。
  • MAP_SHARED 对映射区域的写入数据会复制回文件内,而且允许其他映射该文件的进程共享。
  • MAP_PRIVATE 对映射区域的写入操作会产生一个映射文件的复制,即私人的“写入时复制”(copy on write)对此区域作的任何修改都不会写回原来的文件内容。
  • MAP_ANONYMOUS建立匿名映射。此时会忽略参数fd,不涉及文件,而且映射区域无法和其他进程共享。
  • MAP_DENYWRITE只允许对映射区域的写入操作,其他对文件直接写入的操作将会被拒绝。
  • MAP_LOCKED 将映射区域锁定住,这表示该区域不会被置换(swap)。



因为我们不需要写屏,所以prot只需要采用PORT_READ;而我们期望避免屏幕数据的多次创建,flags就需要用到MAP_SHARED,这样文件句柄fd指向的内存块数据就会实时变更,无需多次创建,拷贝,释放数据。


2.分析数据

截取到屏幕数据就好办了,对每一帧进行数据处理,这里完全就是算法问题了。懒人都用搓算法,大概的思路就是:7*7宫格,对于所有相连的两个同色item做了横向映射表和纵向映射表,然后轮寻处理5连,4连和3连。里面还有一些涉及到实现细节的映射表重置与预判,因为不是本文重点,就带过了。

void Handle_X_Combination() {

    LOGE("Handle_X_Combination");

    gen_Horizontal_Matrix(6);

    get_Horizontal_X_Match();

    gen_Vertical_Matrix(0, 6);

    get_Vertical_X_Match();
}


下面是程序运行时的Log信息片段,以供大家参考。

435BEE50_B652_49A4_9A95_BBF67165BBD1

3. 模拟输出

算法会输出当前屏幕的一个模拟手势操作队列,最精彩的当然放到最后,也是此工程的技术点,怎么模拟输出手势的问题。

Android所给予的截屏和模拟操作分别为 adb screenshot 和 adb shell sendevent (根据android版本,有些机型用的是input event,记得没错的话~)
所有需要adb处理的指令,都不能采用高并发方式调用,要不然要么机器重启,要么指令堵塞。所以adb这条路不通。
怎么办呢?

懒人又一番思量后,linux系统大都采用文件buffer,直接将指令写文件吧。其实adb也是写文件,不过adb做了一层转译,这里涉及到设备层指令代码,不同机型定义的指令代码不尽相同。

要完成此任务,首先要弄清楚几件事情:

  1. 一个点击事件的构成是怎样的
  2. 一个滑动事件的构成多了什么
  3. 事件的指令代码分别代表什么



万能的adb给了我一些思路,adb shell getevent,会打印出当前event的指令。再科普一下,event有很多,包括compass_sensor,light_sensor,pressure_sensor,accelerometer_sensor等等。
我们这里监听的是,touchscreen_sensor。

4E3C742D_8BDD_485B_9903_7BAA36FB04AC

有了上面的指导信息,要构建一个模拟操作函数就很容易了。操作屏幕打印出想要的模拟的手势,然后写下来就好了。一共会有这么几个模拟操作函数需要创建:

`
void simulate_long_press_start_event(int touch, int fromX, int fromY);
void simulate_long_press_hold_event(int touch, int fromX, int fromY);
void simulate_long_press_end_event(int touch);
void simulate_press_event(int touch, int fromX, int fromY);
void simulate_move_event(int touch, int fromX, int fromY, int toX, int toY);
`


下面给出一个我写好的范例出来,大家可以依葫芦画瓢,把剩下的写好。

void simulate_press_event(int touch, int fromX, int fromY) {

    pthread_mutex_lock(&global.writeEventLock);

    LOGE("simulate_press_event");

    INPUT_EVENT event;

    // 0. Multi-Touch
    // 此项目非必要,因为没有用到多点触摸,是另一个项目使用到了
    event.type = 0x3;
    event.code = 0x2f;
    event.value = touch;
    write(global.fd_event, &event, sizeof(event));

    // 1. ABS_MT_TRACKING_ID:
    // 理论上必要,因为Android事件输入是批量处理的,需要用到输入id,
    // 但是这里偷懒使用了同步锁,并且没有多点触摸需求,所以不会有Tracking_ID串扰问题,也就不需要记数了
    event.type = 0x3;
    event.code = 0x39;
    event.value = global.event_id > 60000 ? 10 : global.event_id++;
    write(global.fd_event, &event, sizeof(event));

    // 2. At screen coordinates:
    // 触摸点x,y坐标
    event.type = 0x3;
    event.code = 0x35;
    event.value = fromX;
    write(global.fd_event, &event, sizeof(event));
    event.type = 0x3;
    event.code = 0x36;
    event.value = fromY;
    write(global.fd_event, &event, sizeof(event));

    // 4. Sync
    // 数据同步到设备
    event.type = 0x0;
    event.code = 0x0;
    event.value = 0x0;
    write(global.fd_event, &event, sizeof(event));

    event.type = 0x3;
    event.code = 0x39;
    event.value = 0xffffffff;
    write(global.fd_event, &event, sizeof(event));

    // 4. Pure event separator:
    // 结束符
    event.type = 0x0;
    event.code = 0x0;
    event.value = 0x0;
    write(global.fd_event, &event, sizeof(event));

    pthread_mutex_unlock(&global.writeEventLock);
}

建议大家在动手写模拟输入模块之前,先仔细研读Android input事件机制,对于个人程序修为大有裨益。有时间我会单独写一个技术文档供大家参考,目前就此带过了。


调试

因为我是个懒人,能偷懒的地方都会花时间深研。以下,是个人针对本项目调试的一些懒技巧,以供各位参考。

下面是在Debug模式下生成的8张连续图片。能看到每个小宫格的右上方都打印出了当前识别的颜色。如果当前宫格需要被移动,则采用双色绘制表明移动的方向,上下双色表示需要上下移动,左右双色表示需要左右移动。

screen000_jpeg screen001_jpeg
screen002_jpeg screen003_jpeg
screen004_jpeg screen005_jpeg
screen006_jpeg screen007_jpeg



此外,调测程序的时候必不可少的就是单步回归了,以下是设计的Dummy模式,以验证Bug修复效果。

int loadImageData(const LPSTR device, GGLSurface *gr_framebuffer,
        Var_ScreenInfo *vi, Fix_ScreenInfo *fi, ssize_t* mapsize) {
#ifdef TEST_DUMMY
    return test_dummy("/mnt/sdcard/screenss.bmp", &gr_framebuffer, &vi, &fi);
#else
    return get_framebuffer(device, &gr_framebuffer, &vi, &fi, &mapsize);
#endif
}



至此,主要关键技术已经简述完毕,谢谢大家。


# 后记

大家如果仔细看了这篇文章,会发现视频中的游戏版本,和截屏图片的版本是不一致的。视频是我在13年的时候录的,截屏是因为KPI考核要求写文章,临时又生成一遍的,所以会有版本差异。做这个技术的初衷就是因为懒,才想到虐爆Android的。从开始到第一个demo出来,大概花了一周的时间,因为思路都比较清晰,后续的优化反而花了一个多月,包括防破解这块(总不能出个破解然后被人爆菊吧,太侮辱智商了)还是需要仔细走读一下底层实现。其中也请教了当时公司安全部的哥们,知道了更多关于软件实现机制,也深知安全的重要性,所以这段代码一直只存留在我的代码实验室,以前不会,现在不会,以后也不会开源发布,所以请各位海涵了。有兴趣的同学可以通过自己的努力实现一遍,对个人技术的提高会有很大帮助。

这篇技术文档的确只覆盖了一些关键技术节点,还有较多和当前程序不相关的技术并没有被涵盖,例如底层加固技术,动态底层Binary Dex加载技术(在Art下需要有一定的修改,懒,没有去深挖了),so库混淆,屏幕同步,模拟输入同步等,往后有时间再行一一简述吧。

相关实践学习
阿里云百炼xAnalyticDB PostgreSQL构建AIGC应用
通过该实验体验在阿里云百炼中构建企业专属知识库构建及应用全流程。同时体验使用ADB-PG向量检索引擎提供专属安全存储,保障企业数据隐私安全。
AnalyticDB PostgreSQL 企业智能数据中台:一站式管理数据服务资产
企业在数据仓库之上可构建丰富的数据服务用以支持数据应用及业务场景;ADB PG推出全新企业智能数据平台,用以帮助用户一站式的管理企业数据服务资产,包括创建, 管理,探索, 监控等; 助力企业在现有平台之上快速构建起数据服务资产体系
目录
相关文章
|
3月前
|
开发工具 Android开发 Swift
探索安卓与iOS开发的差异:从新手到专家的旅程
在数字时代的浪潮中,移动应用开发已成为连接世界的桥梁。本文将深入探讨安卓与iOS这两大主流平台的开发差异,带领读者从零基础出发,逐步了解各自的特点、开发环境、编程语言及市场策略。无论你是梦想成为移动应用开发者的初学者,还是希望扩展技能边界的资深开发者,这篇文章都将为你提供宝贵的见解和实用的建议。
|
存储 安全
分享快乐,用好用的软件,分享五款win10软件
分享是一种美好的事情,它能让快乐变得更多,它能让悲伤变得更少,我会持续分享一些好用的软件给大家。
131 0
分享快乐,用好用的软件,分享五款win10软件
|
iOS开发
ios破解的冰山一角(二)
ios破解的冰山一角(二)
|
机器学习/深度学习 安全 算法
【阿里聚安全·安全周刊】一种秘密窃取数据的新型 Android 木马|iOS 11相机惊现BUG
阿里安全周刊第九十期,分享本周移动安全热点和技术知识。
1890 0
|
安全 iOS开发
阿里安全潘多拉实验室龙磊:越狱 iOS 11.2,我选了一条最难走的路
苹果越狱不好搞,但他们居然两个月内针对三个最新版系统“越”了三次,这就很神奇了。
4016 0
|
新零售 安全 定位技术
【阿里聚安全·安全周刊】阿里安全潘多拉实验室完美越狱iOS11.2.1|Janus漏洞修改安卓app而不影响签名
关键词:阿里安全潘多拉实验室丨Janus漏洞丨御城河丨编程语言出现漏洞丨APP追踪定位丨银行APP存在漏洞丨安卓统一推送联盟|AhMyth RAT|HP笔记本
2583 0