[原创]《我叫mt》数据包解包记录-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]《我叫mt》数据包解包记录

发表于: 2013-6-13 17:22 47773

[原创]《我叫mt》数据包解包记录

风の忆

2013-6-13 17:22

47773

把自己Blog上的一篇文章转过来，V1.6 V2.5 通用
关于GDB部分，不懂的请看虫大的《android软件安全与逆向分析》
=============================================
== From： blog.breeze356.com

《我叫MT online》使用的是开源项目npk(cbaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9M7h3g2*7i4K6u0r3L8Y4m8C8i4K6t1&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6R3K6i4@1t1K6i4@1f1^5i4@1p5$3i4K6R3I4i4@1f1^5i4@1p5%4i4@1p5K6i4@1f1#2i4K6S2o6i4K6R3#2k6r3q4@1j5g2)9J5k6h3c8S2N6q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5g2)9&6b7#2)9^5x3q4!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4g2!0n7c8g2)9&6y4#2!0q4y4g2)9^5z5q4!0n7x3r3E0W2P5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0m8c8q4!0m8y4g2!0q4z5g2!0m8b7g2!0m8y4q4!0q4z5q4!0m8c8g2!0n7x3q4!0q4y4g2!0n7c8q4)9&6y4g2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2!0m8y4q4)9^5y4#2!0q4y4g2!0n7c8W2)9&6z5q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

1. 开启Android JIT Debugging

setprop debug.db.uid 32767

NPK_RESULT __npk_package_open( NPK_PACKAGEBODY* pb, const NPK_CHAR* filename, long filesize, NPK_TEAKEY teakey[4] )
{
    ...
     if( teakey == NULL )
        {
            return ( npk_error( NPK_ERROR_NeedSpecifiedTeaKey ) );
        }
        memcpy( pb->teakey_, teakey, sizeof(NPK_TEAKEY) * 4 ); // 如果在memcpy处crash，[R1] 即为 key[0]
    ...
}

.text:003557BA 20 1C        MOVS    R0, R4
.text:003557BC 1C 30        ADDS    R0, #0x1C       ; dest
.text:003557BE 0A 99        LDR     R1, [SP,#0x270+src] ; src
.text:003557C0 10 22        MOVS    R2, #0x10       ; n
.text:003557C2 0C F6 60 EF  BLX     memcpy

.text:003557C2 0C F6 60 EF  BLX     memcpy

.text:003557C2 00 25        MOVS    R5, #0
.text:003557C4 2D 68        LDR     R5, [R5]

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・42

免费・5

支持

最新回复 (31) 1 2 ▶
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 2 楼哇哈哈哈 2013-6-13 17:37 0
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 431 粉丝 0 关注私信	shenger 3 楼 windows的逆向还没学好就不掺和安卓的了。。 2013-6-13 20:29 0
IamHuskar 雪币： 1515 活跃值： (5972) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 77 关注私信	IamHuskar 4 4 楼活捉野生br一只。。快围观 2013-6-14 08:15 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 5 楼很是牛B呀！！！！！楼主很强大！ 2013-6-14 16:21 0
magicdawn 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	magicdawn 6 楼好高级，还没碰过IDA，只会smali静态分析 2013-6-14 17:44 0
reinharddm 雪币： 1140 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 110 粉丝 0 关注私信	reinharddm 7 楼额，先打好windows的基础再研究安卓！ 2013-6-14 19:15 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼牛X啊，膜拜！请问，在pc上用什么工具能直接修改arm指令的so库，类似OD修改x86的那样？ 2013-6-15 17:26 0
MewCatcher 雪币： 324 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 0 关注私信	MewCatcher 9 楼厉害！安卓解包挺少见的嗯。 2013-6-16 12:27 0
猫狗大战雪币： 16 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 46 粉丝 1 关注私信	猫狗大战 10 楼膜拜一下下…… 顺便，这npk编译的真痛苦啊，几个指针乱指，结果死活没编译出来…… 编译了个npk出来了……见附件…… npk.7z 上传的附件： npk.7z （105.98kb，246次下载） 2013-6-16 20:16 0
xuyahui 雪币： 20 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 119 粉丝 0 关注私信	xuyahui 11 楼解包修改之后如何还原呢? 2013-6-17 15:34 0
zui清风雪币： 525 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zui清风 12 楼 Lz 很牛X啊！ 2013-6-17 18:26 0
俟我雪币： 483 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	俟我 13 楼不懂怎么改 2013-6-17 23:58 0
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 14 楼 lz强悍！！ 2013-6-18 00:28 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 15 楼 mark 等以后Android再看 2013-6-18 09:05 0
netsniffer 雪币： 53 活跃值： (321) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 337 粉丝 5 关注私信	netsniffer 16 楼这个可以仿windows下的调试器的写法，写个简单的调试器，用ptrace附着，在指定地方设置断点，动态截获数据；本质上和gdbserver一样。 2013-6-18 14:32 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 17 楼直接 IDA 调试状态断点 F8 步过看下也行吧，不用修改LIB 文件吧~ 2013-6-19 10:29 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 18 楼不过需要有 HEX ARM 。才方便 2013-6-19 10:30 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 19 楼最近正准备直接看安卓。。windows看起来是跟不上了 2013-6-19 23:33 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 30 关注私信	fosom 8 20 楼 a74K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6r3q4Z5k6i4u0G2i4K6u0W2j5$3&6Q4x3V1k6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4g2)9^5z5q4)9^5x3q4!0q4y4g2!0m8x3g2)9&6y4q4!0q4z5q4)9^5b7W2!0n7x3g2!0q4z5g2)9&6b7W2)9^5y4q4)9%4c8b7`.`. 跟我叫MT 一模一样的。 2013-6-20 11:42 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 21 楼 2013-6-23 10:37 0
solkergy 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	solkergy 22 楼好厉害正想学习这方面的呢，先mark blog 去 2013-6-23 16:29 0
donttellme 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	donttellme 23 楼很nb啊，我用的ida还是5.5的，不支持android啊。等有时间了，换个新版的试试 2013-6-24 11:44 0
gspltjw 雪币： 218 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	gspltjw 24 楼 2013-7-16 13:42 0
guenli 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 74 粉丝 1 关注私信	guenli 25 楼 IDA 6.1已经支持Android了. 2013-7-30 14:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

风の忆

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
dahwa 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	dahwa 2 楼哇哈哈哈 2013-6-13 17:37 0
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 431 粉丝 0 关注私信	shenger 3 楼 windows的逆向还没学好就不掺和安卓的了。。 2013-6-13 20:29 0
IamHuskar 雪币： 1515 活跃值： (5972) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1668 粉丝 77 关注私信	IamHuskar 4 4 楼活捉野生br一只。。快围观 2013-6-14 08:15 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 5 楼很是牛B呀！！！！！楼主很强大！ 2013-6-14 16:21 0
magicdawn 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	magicdawn 6 楼好高级，还没碰过IDA，只会smali静态分析 2013-6-14 17:44 0
reinharddm 雪币： 1140 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 110 粉丝 0 关注私信	reinharddm 7 楼额，先打好windows的基础再研究安卓！ 2013-6-14 19:15 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼牛X啊，膜拜！请问，在pc上用什么工具能直接修改arm指令的so库，类似OD修改x86的那样？ 2013-6-15 17:26 0
MewCatcher 雪币： 324 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 166 粉丝 0 关注私信	MewCatcher 9 楼厉害！安卓解包挺少见的嗯。 2013-6-16 12:27 0
猫狗大战雪币： 16 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 46 粉丝 1 关注私信	猫狗大战 10 楼膜拜一下下…… 顺便，这npk编译的真痛苦啊，几个指针乱指，结果死活没编译出来…… 编译了个npk出来了……见附件…… npk.7z 上传的附件： npk.7z （105.98kb，246次下载） 2013-6-16 20:16 0
xuyahui 雪币： 20 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 119 粉丝 0 关注私信	xuyahui 11 楼解包修改之后如何还原呢? 2013-6-17 15:34 0
zui清风雪币： 525 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zui清风 12 楼 Lz 很牛X啊！ 2013-6-17 18:26 0
俟我雪币： 483 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	俟我 13 楼不懂怎么改 2013-6-17 23:58 0
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 14 楼 lz强悍！！ 2013-6-18 00:28 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 15 楼 mark 等以后Android再看 2013-6-18 09:05 0
netsniffer 雪币： 53 活跃值： (321) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 337 粉丝 5 关注私信	netsniffer 16 楼这个可以仿windows下的调试器的写法，写个简单的调试器，用ptrace附着，在指定地方设置断点，动态截获数据；本质上和gdbserver一样。 2013-6-18 14:32 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 17 楼直接 IDA 调试状态断点 F8 步过看下也行吧，不用修改LIB 文件吧~ 2013-6-19 10:29 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 18 楼不过需要有 HEX ARM 。才方便 2013-6-19 10:30 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 19 楼最近正准备直接看安卓。。windows看起来是跟不上了 2013-6-19 23:33 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 30 关注私信	fosom 8 20 楼 a74K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6r3q4Z5k6i4u0G2i4K6u0W2j5$3&6Q4x3V1k6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4g2)9^5z5q4)9^5x3q4!0q4y4g2!0m8x3g2)9&6y4q4!0q4z5q4)9^5b7W2!0n7x3g2!0q4z5g2)9&6b7W2)9^5y4q4)9%4c8b7`.`. 跟我叫MT 一模一样的。 2013-6-20 11:42 0
luyikk 雪币： 132 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 0 关注私信	luyikk 21 楼 2013-6-23 10:37 0
solkergy 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	solkergy 22 楼好厉害正想学习这方面的呢，先mark blog 去 2013-6-23 16:29 0
donttellme 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	donttellme 23 楼很nb啊，我用的ida还是5.5的，不支持android啊。等有时间了，换个新版的试试 2013-6-24 11:44 0
gspltjw 雪币： 218 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	gspltjw 24 楼 2013-7-16 13:42 0
guenli 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 74 粉丝 1 关注私信	guenli 25 楼 IDA 6.1已经支持Android了. 2013-7-30 14:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复