-
-
[原创]7shen unidbg版
-
发表于: 2025-4-29 10:26
-
1. 概述
2025年最新版某视频,重点分析其7神参数生成算法。相比其他平台(如某书),xx的难度较低(无需大量环境补全代码),但需解决版本抓包与QUIC协议限制问题。本方案仅用于技术研究,请勿用于非法用途。
2.前言
2.1 准备工具
| 工具 | 版本/要求 | 建议说明 |
|---|---|---|
| xx App | 34.1(需特定脱壳工具处理加固) | 强调脱壳必要性,提供脱壳工具链接(如 Frida-DexDump) |
| Frida | 16.1.11+(兼容 Android 12+) | 使用新版 Frida 避免 Hook 失效,提供降级方案 |
| Jadx | 1.2.0+(支持 DEX 转 Java 优化) | 建议开启反混淆插件(如 JEB) |
| Charles | 4.6+(需安装 BoringSSL 证书) | QUIC降级抓包 |
| unidbg | 0.9.8(需自行编译 JNI 库) | 附编译指南及依赖项(如 Android NDK r25b) |
| Root 设备(演示的是模拟器) | Android 9-13(推荐 Pixel 系列,避免厂商定制 ROM) | 推荐使用 Magisk Delta + Shamiko 隐藏 Root |
2.2 演示
直接运行,打印参数
3.大概流程
抓包APP
hookAPP定位到算法位置
找到具体的so文件
unidbg模拟执行
3.1 抓包
1.抓包 发现有ssl校验,接口请求失败
2. 使用frida hook 走quic降级的方式,可以抓到包,但是这个方法只对33.1以下版本的app生效,抓包后发现请求头里面有7神参数
3.2 算法位置
- 定位7神的位置,frida hook拦截器,这个比较简单就不演示
- 发现拦截器里面是在tryAdd....方法生成的7神,点进去看看
- 发现里面又调了别的方法,继续点进去,注意这是个接口 点进去得找到具体的实现类
- 只看关键代码,里面又调了其他的方法,这个方法是native方法 c写的,开始找so文件
3.3 找到具体的so文件
- 通过 Hook libart.so 的 RegisterNatives 函数,捕获动态注册的 JNI 方法表
- 找到具体的so文件,so文件就是libmetasec_ml.so
3.4 unidbg模拟执行
unidbg调用a方法,补完环境这些流程整理到一起就是之前演示的效果了。
