admin管理员组

文章数量:1600680

最近朋友抱怨某软件的下载很慢,想在电脑上面直接下载观看。
众所周知此领域竞争激烈,所以安全意识普遍较高,分析起来较为困难,颇具挑战性。
目标以尽量以最快速度解决战斗,下面分享我的分析过程:

静态分析

不够暴力,略。

动态分析

网络协议是永恒的话题,数据流转的起点与终点,也是我们三板斧的开始。

在此简单总结下安卓网络框架现状:

okhttp:

大众框架,网上资料多,见过最多,例如本样本。
hook方案
可以选择插入HttpLoggingInterceptor,此方法网上很多,最早是珍惜的xposed模块,后来进化的frida模块,增强抗混淆xposed模块。
此方案反制方法太多,本人更喜欢直接hook

java.net.SocketInputStream.read([BII)I
java.net.SocketOutputStream.write([BII)V

缺点就是解析起来很麻烦。

cronet:

性能优于okhttp,网上资料不多,大厂很多都用,例如字节,某手。
hook方案:
框架操作多数在native,java层没有像okhttp那样请求响应的读写点,如果java层hook建议分别hook,涉及类

java.net.HttpURLConnection
org.json.JSONObject
java.io.InputStreamReader

HttpUrlConnection:

旧时代产物了,多老版本使用。
hook方案

com.squareup.okhttp.internal.huc.HttpURLConnectionImpl.getInputStream()
com.squareup.okhttp.internal.huc.HttpURLConnectionImpl.getOutputStream()

这个还有可能其他实现类。

统统HOOK,打印结果

样本使用的是okhttp,但内容没有什么线索,数据都做过加密处理。
这时使用第二板斧,因为内存中会存在读写操作,猜测会存在一个下载列表,那就内存漫游起来
HOOK 几个关键类

java.io.InputStreamReader
java.nio.DirectByteBuffer
java.io.ByteArrayOutputStream
java.io.OutputStream

结果在java.io.InputStreamReader(Ljava/io/InputStream;)V有意外惊喜:发现了m3u8文件!

编写插件

拿到了m3u8文件就好办了,
文件里面有解密的key的存储位置,将他从手机中导出来。
下面就使用python编写脚本先下载m3u9文件里面的链接,再将其解密,最后再拼接起来就是一个完整的ts文件,具体代码如下

下载:
def download(ts_urls, download_path, num_tar, key_path):
    key = open(key_path, 'rb').read()
    for i in range(len(ts_urls)):
        ts_url = ts_urls[i]
        num_f = int(ts_url.split("/")[-1].split("-")[1])
        if num_f < num_tar:
            continue
        start = datetime.datetime.now().replace(microsecond=0)
        s = requests.session()
        try:
            response = s.get(ts_url, stream=True, verify=False)
            if response.status_code != 200:
                print("返回异常:" + str(response.status_code))
                return num_f
            ts_path = download_path + "/{0}.ts".format(i)
            ts_temp = download_path + "temp.ts"
            with open(ts_temp, "wb+") as file:
                for chunk in response.iter_content(chunk_size=1024):
                    if chunk:
                        file.write(chunk)
                    else:
                        print("下载失败")
            with open(ts_path, 'wb+') as fw:
                try:
                    fw.write(aes_decode(open(ts_temp, 'rb').read(), key))
                except:
                    print("error ts_temp = " + ts_temp)
            os.remove(ts_temp)
        except Exception as e:
            print("异常请求:%s,num = %d" % (e.args, num_f))
            return num_f
        end = datetime.datetime.now().replace(microsecond=0)
        print("耗时:%s" % (end - start))
    return -1
解密:
def aes_decode(data, key):
    cryptor = AES.new(key, AES.MODE_CBC, key)
    plain_text = cryptor.decrypt(data)
    return plain_text.rstrip(b'\0')
拼接:
def combine(ts_path, combine_path, file_name):
    boxer = get_sorted_ts(ts_path)
    file_list = []
    for ts in boxer:
        file_list.append(ts_path + "/" + str(ts) + '.ts')
    file_path = combine_path + file_name + '.ts'
    with open(file_path, 'wb+') as fw:
        for i in range(len(file_list)):
            try:
                fw.write(open(file_list[i], 'rb').read())
            except:
                print("error i = " + str(i))

结果,起飞

总结

出了一期比较无脑的逆向文章,希望给大家提供另一种思路。
如果后续有感兴趣的朋友我可以继续出一篇改机无限观看功能文章,共同学习。

本文标签: 在线视频暴力boboapp