为了学习死磕的精神，我也来做题。我选择了APK的题目，题目有两种难度，分别对应标准级别和进阶级别，标准级别是100分，进阶级别是200分。我先看的标准级别，然后看的进阶级别，由于自己对一些算法的熟练程度不够，逆向东西也逆得慢，所以花了不少时间。再说一点题外话，这个进阶题目和之前360移动安全竞赛的APK cm比较相似，都是RSA算法，name和RSA中的e 、n、 d参数绑定，不同之处是360的那道题目的难点在于用了ollvm来进行混淆，增大分析难度，而这一道题目的难点是需要写一个完整的注册机，这个是两道题的不同之处，好了不扯了，下面开始正题。
0x1REG_CHECK函数
Java层比较简单，只是一个reg_check函数，传入输入的key和code，然后进行验证。这个函数是整个程序的核心，reg_check函数如下：
int __fastcall CRegCheck::reg_check(int a1, int a2, _DWORD *a3, int a4)
{
  int v4; // r4@1
  char **v5; // r8@1
  int v6; // r6@1
  int v7; // r5@1
  int v8; // r0@2
  unsigned int v9; // r4@5
  int v10; // r4@5
  void *v11; // r4@6
  int v13; // [sp+20h] [bp-CD4h]@5
  void *ptr; // [sp+24h] [bp-CD0h]@2
  int v15; // [sp+28h] [bp-CCCh]@2
  int v16; // [sp+2Ch] [bp-CC8h]@2
  __int64 v17; // [sp+30h] [bp-CC4h]@2
  __int64 v18; // [sp+38h] [bp-CBCh]@7
  __int64 v19; // [sp+40h] [bp-CB4h]@7
  __int64 v20; // [sp+48h] [bp-CACh]@7
  __int64 v21; // [sp+58h] [bp-C9Ch]@5
  __int64 v22; // [sp+60h] [bp-C94h]@7
  int v23; // [sp+68h] [bp-C8Ch]@7
  int v24; // [sp+CE4h] [bp-10h]@1
 
  v4 = a4;
  v5 = (char **)a3;
  v6 = a2;
  v24 = _stack_chk_guard;
  v7 = 0;
  if ( CRegCheck::is_user_name_legal(_stack_chk_guard, (int *)a2) != 1 )
    goto LABEL_13;
  v8 = CRegCheck::get_formula_param(&v17, v6);
  ptr = 0;
  v15 = 0;
  v16 = 0;
  if ( v4 == 1 )
  {
    if ( !CBase64::base64_decode(*v5, (int)&ptr) )
      goto LABEL_8;
  }
  else
  {
    v9 = CRegCheck::get_rsa_key_seed(v8, v6);
    RSA::RSA((RSA *)&v21);
    RSA::RSAKey((RSA *)&v21, v9);
    sub_33440(&v13, (int *)v5);
    v10 = RSA::tdecrypto((int)&v21, (int)&v13, (int)&ptr);
    sub_332FC(v13 - 12);
    RSA::~RSA((RSA *)&v21);
    if ( !v10 )
    {
LABEL_8:
      v7 = 0;
      goto LABEL_9;
    }
  }
  v11 = ptr;
  if ( v15 - (_DWORD)ptr == 16 )
  {
    _aeabi_memclr(&v23, 0);
    _aeabi_memcpy(&v21, v11, 16);
    v7 = is_tangent(v20, v19, v18, v21, v22, v17);
LABEL_9:
    v11 = ptr;
    goto LABEL_11;
  }
  v7 = 0;
LABEL_11:
  if ( v11 )
    operator delete(v11);
LABEL_13:
  if ( _stack_chk_guard != v24 )
    _stack_chk_fail(_stack_chk_guard - v24);
  return v7;
}

在check函数的开端，遇见的是is_user_name_legal函数，它的作用是校验了一下name的长度是否是39位，格式需要如下：
xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx （一共39位，暂且称之为8个段，在之后用segment1～segment8来表示）
x需要在 ‘0’-‘9’ 、 ‘a’-‘f’之间，否则key的合法性就不予通过。

在get_formula_param函数中，根据输入的name 初始化了4个参数，每2个段生成一个参数，这些参数将在最后的is_tangent函数验证中用到。
具体参数代码如下：
a1 = 0;
a1 += (segment1[0] * segment8[0]) << 16 ;
a1 += segment1[1] ^ segment8[1];
a1 += segment1[2] % (segment8[2]+1)+ 1;
a1 += segment1[3] / (segment8[3]+1);
 
a2 =0;
a2 += (segment2[0] ^ segment7[0]) << 16 ;
a2 += (segment2[1] % (segment7[1]+3));
a2 += (segment2[2] / (segment7[2]+1)) + 5;
a2 += (segment2[3] + (segment7[3])) ;
a3 = 0;
a3 += (segment3[0] / (3 + segment6[0]) )<< 16 ;
a3 += (segment3[1] * segment6[1]);
a3 +=  segment3[2] %(segment6[2] + 7) +5;
a3 +=  segment3[3] + segment6[3];
a6 = 0;
a6 += (segment4[0] + segment5[0]) << 16;
a6 *= segment4[1]/(segment5[1]+2);
a6 += segment4[2] %(segment5[2] +5) +7;
a6 += segment4[3] * segment5[3];
好了，这就是最后校验用到的4个参数。

检查完输入key的合法性和初始化4个重要的参数之后，这个时候判断模式，判断做题的人是选择的什么难度，如果是选择标准难度，将会对输入的code进行base64解码，再进行计算，判断是否成功。我打算重点说说进阶难度题目的事情，所以这里就给出一组正确的key，其他的过程需要读者自行跟踪一下。
我算出来的一组key：
key:0234-5678-90ab-00ef-0f87-6543-21fe-0cba
code:A6Kf2FVPOOvERSOoIf@5l2==
如果是选择的进阶的题目，将会进入到另外一番天地，先贴一段代码，如下：
    v9 = CRegCheck::get_rsa_key_seed(v8, v6);
    RSA::RSA((RSA *)&v21);
    RSA::RSAKey((RSA *)&v21, v9);
    sub_33440(&v13, (int *)v5);
    v10 = RSA::tdecrypto((int)&v21, (int)&v13, (int)&ptr);
    sub_332FC(v13 - 12);
    RSA::~RSA((RSA *)&v21);
从这里可以看出来，进阶版这里用的是RSA算法对输入的key和code进行验证。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！