[原创]某盗链app逆向-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某盗链app逆向

发表于: 2019-12-4 14:58 13659

[原创]某盗链app逆向

白小菜

2019-12-4 14:58

13659

发现一个盗链的app，扒出来研究一下

跟进com.vst.player.parse.a.getCDNUrl_a，发现是直接反射调用的SoMananger类的getLiveUrl函数

跟进SoManager类（已重命名过），发现SoManager类在自加载dex中

看了一下上面的逻辑，加载的是android.jar和temp.jar

在/data/data/com.vst.live里搜索这两个文件，发现在cache目录下，导出，扔进010看一下，发现没有dex文件特征，放弃。

尝试用大佬的dumpdex（工具git：7d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9j5i4y4@1K9h3&6Y4i4K6u0V1P5h3q4F1k6#2)9J5c8X3k6J5K9h3c8S2i4K6g2X3k6s2g2E0M7l9`.`.）工具从内存里直接把动态加载的dex拿出来

我是直接复制了dump_dex()函数到自己的js中：

从dump出的dex里搜SoManager，找到包含SoManager类的dex，但是无法解析出来

怀疑是优化过的dex（我测试用的手机是8.1.0的）

在/data/data/com.vst.live里搜索SoManager，发现vdex

把两个vdex文件用vdexExtractor转成dex文件一下（工具git见：423K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6S2L8X3g2K6N6r3W2K6j5W2)9J5c8Y4k6V1k6i4S2q4P5s2c8J5j5h3y4@1L8%4t1`.）

命令：bin/vdexExtractor -i temp.vdex -o tmp --deps -f

出现下图表示转换成功：

得到两个dex文件

解析bi.dex，没什么东西

解析temp.dex看看, 发现SoManager

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2019-12-5 17:01 被白小菜编辑，原因：

上传的附件：

temp_classes.dex （800.95kb，52次下载）

收藏・17

免费・5

支持

最新回复 (20)
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 2 楼感谢分享！ 2019-12-4 17:23 0
Oday小斯雪币： 143 活跃值： (3356) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 153 粉丝 5 关注私信	Oday小斯 3 楼感谢分享！ 2019-12-4 20:25 0
上海刘一刀雪币： 977 活跃值： (435) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 137 粉丝 13 关注私信	上海刘一刀 2 4 楼感谢分享 2019-12-4 21:52 0
ywkj 雪币： 1883 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ywkj 5 楼感谢分享 2019-12-5 06:38 0
whbill 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	whbill 6 楼感谢分享 2019-12-5 09:07 0
wx_Oh.漏雪币： 1 活跃值： (259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 1 关注私信	wx_Oh.漏 7 楼如果这样怎么才能防盗呢 2019-12-5 14:52 0
aihacker 雪币： 1385 活跃值： (1636) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 22 关注私信	aihacker 8 楼 “尝试用大佬的dumpdex（工具git：9e2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8h3q4J5N6r3c8G2L8X3g2Q4x3V1k6r3M7X3W2V1j5g2)9J5k6q4y4U0M7X3W2H3N6s2y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3N6h3&6H3j5h3y4C8i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4@1t1%4i4@1p5#2i4@1f1#2i4K6R3#2i4@1t1%4i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1#2i4K6R3$3i4K6R3#2i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1%4i4K6W2n7i4@1t1@1i4@1f1$3i4K6S2q4i4@1p5#2i4@1f1$3i4K6S2m8i4K6S2m8i4@1f1#2i4K6S2m8i4@1p5^5i4@1f1$3i4K6R3H3i4K6R3I4i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2m8i4K6R3@1k6r3g2^5i4@1f1$3i4K6S2n7i4@1u0r3i4@1f1#2i4K6R3%4i4@1u0m8i4@1f1$3i4K6W2p5i4@1p5#2 我是直接复制了dump_dex()函数到自己的js中：” 你是照着这个重写的dump_dex()函数么？里面没有这个函数，我的不能用，手机是小米6X，系统版本是MIUI11 9.11.28 android9 最后于 2019-12-5 16:59 被aihacker编辑，原因： 2019-12-5 16:55 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 9 楼 aihacker   “尝试用大佬的dumpdex（工具git：0c0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8h3q4J5N6r3c8G2L8X3g2Q4x3V1k6r3M7X3W2V1j5g2)9J5k6q4y4U0M7X3W2H3N6s2y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3N6h3&6H3j5b7`.`. ... 066K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9j5i4y4@1K9h3&6Y4i4K6u0V1P5h3q4F1k6#2)9J5c8X3k6J5K9h3c8S2i4K6g2X3k6s2g2E0M7l9`.`. 这个这个！感谢大佬… 2019-12-5 17:02 0
aihacker 雪币： 1385 活跃值： (1636) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 22 关注私信	aihacker 10 楼我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦 2019-12-5 17:14 0
gtict 雪币： 220 活跃值： (4078) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 523 粉丝 6 关注私信	gtict 11 楼是什么版本的，，刚看了下很多对不上 2019-12-5 19:31 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 12 楼 aihacker 我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦就直接make一下就可以了，我编译的时候没遇到什么坑 2019-12-5 19:43 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 13 楼 gtict 是什么版本的，，刚看了下很多对不上当前官网那个版本V2.3.9.5，是不是自加载的dex变了？最后于 2019-12-5 19:45 被白小菜编辑，原因： 2019-12-5 19:44 0
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 14 楼老哥可以加个好友吗，我想请教一下 2019-12-10 03:30 0
ENTER_772918 雪币： 65 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ENTER_772918 15 楼非常感谢您的分析！！！ 2019-12-23 16:08 0
wcofen 雪币： 46 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wcofen 16 楼 666~ 动手能力真强 2019-12-24 18:07 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 17 楼 wx_Oh.漏如果这样怎么才能防盗呢用反射就好了。 2019-12-24 21:56 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 18 楼感谢大佬地分享,又学到了! 2019-12-24 22:00 0
无名侠雪币： 7120 活跃值： (9944) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 408 粉丝 648 关注私信	无名侠 12 20 楼学习一下。最后于 2020-2-5 18:05 被无名侠编辑，原因： 2020-2-2 02:05 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 21 楼无名侠学习一下。出来看大佬 2020-2-5 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

白小菜

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 2 楼感谢分享！ 2019-12-4 17:23 0
Oday小斯雪币： 143 活跃值： (3356) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 153 粉丝 5 关注私信	Oday小斯 3 楼感谢分享！ 2019-12-4 20:25 0
上海刘一刀雪币： 977 活跃值： (435) 能力值： ( LV7，RANK：100 ) 在线值：发帖 3 回帖 137 粉丝 13 关注私信	上海刘一刀 2 4 楼感谢分享 2019-12-4 21:52 0
ywkj 雪币： 1883 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ywkj 5 楼感谢分享 2019-12-5 06:38 0
whbill 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	whbill 6 楼感谢分享 2019-12-5 09:07 0
wx_Oh.漏雪币： 1 活跃值： (259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 1 关注私信	wx_Oh.漏 7 楼如果这样怎么才能防盗呢 2019-12-5 14:52 0
aihacker 雪币： 1385 活跃值： (1636) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 22 关注私信	aihacker 8 楼 “尝试用大佬的dumpdex（工具git：9e2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8h3q4J5N6r3c8G2L8X3g2Q4x3V1k6r3M7X3W2V1j5g2)9J5k6q4y4U0M7X3W2H3N6s2y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3N6h3&6H3j5h3y4C8i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4@1t1%4i4@1p5#2i4@1f1#2i4K6R3#2i4@1t1%4i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1#2i4K6R3$3i4K6R3#2i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1%4i4K6W2n7i4@1t1@1i4@1f1$3i4K6S2q4i4@1p5#2i4@1f1$3i4K6S2m8i4K6S2m8i4@1f1#2i4K6S2m8i4@1p5^5i4@1f1$3i4K6R3H3i4K6R3I4i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2m8i4K6R3@1k6r3g2^5i4@1f1$3i4K6S2n7i4@1u0r3i4@1f1#2i4K6R3%4i4@1u0m8i4@1f1$3i4K6W2p5i4@1p5#2 我是直接复制了dump_dex()函数到自己的js中：” 你是照着这个重写的dump_dex()函数么？里面没有这个函数，我的不能用，手机是小米6X，系统版本是MIUI11 9.11.28 android9 最后于 2019-12-5 16:59 被aihacker编辑，原因： 2019-12-5 16:55 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 9 楼 aihacker   “尝试用大佬的dumpdex（工具git：0c0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8h3q4J5N6r3c8G2L8X3g2Q4x3V1k6r3M7X3W2V1j5g2)9J5k6q4y4U0M7X3W2H3N6s2y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3N6h3&6H3j5b7`.`. ... 066K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9j5i4y4@1K9h3&6Y4i4K6u0V1P5h3q4F1k6#2)9J5c8X3k6J5K9h3c8S2i4K6g2X3k6s2g2E0M7l9`.`. 这个这个！感谢大佬… 2019-12-5 17:02 0
aihacker 雪币： 1385 活跃值： (1636) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 159 粉丝 22 关注私信	aihacker 10 楼我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦 2019-12-5 17:14 0
gtict 雪币： 220 活跃值： (4078) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 523 粉丝 6 关注私信	gtict 11 楼是什么版本的，，刚看了下很多对不上 2019-12-5 19:31 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 12 楼 aihacker 我也是菜菜的，咱们一起学，vdexExtractor直接提供一下编译好的吧，感觉编译比较麻烦就直接make一下就可以了，我编译的时候没遇到什么坑 2019-12-5 19:43 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 13 楼 gtict 是什么版本的，，刚看了下很多对不上当前官网那个版本V2.3.9.5，是不是自加载的dex变了？最后于 2019-12-5 19:45 被白小菜编辑，原因： 2019-12-5 19:44 0
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 14 楼老哥可以加个好友吗，我想请教一下 2019-12-10 03:30 0
ENTER_772918 雪币： 65 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ENTER_772918 15 楼非常感谢您的分析！！！ 2019-12-23 16:08 0
wcofen 雪币： 46 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wcofen 16 楼 666~ 动手能力真强 2019-12-24 18:07 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 17 楼 wx_Oh.漏如果这样怎么才能防盗呢用反射就好了。 2019-12-24 21:56 0
LivedForward 雪币： 1892 活跃值： (1618) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 28 粉丝 26 关注私信	LivedForward 18 楼感谢大佬地分享,又学到了! 2019-12-24 22:00 0
无名侠雪币： 7120 活跃值： (9944) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 408 粉丝 648 关注私信	无名侠 12 20 楼学习一下。最后于 2020-2-5 18:05 被无名侠编辑，原因： 2020-2-2 02:05 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 21 楼无名侠学习一下。出来看大佬 2020-2-5 22:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复