针对某APP常用地址取证解密

前言

前段时间拿到了弘连的取证实录杂志，看到了里面有关于APP取证的，对其中一个常用地址的取证解密分析进行了一下复现，非常感谢弘连公司高质量的文章。

参考文献:<<取证实录>>

相关文章:

Frida

达达，公众号：Th0r安全FO-HOOK取证实战数据库解密

安卓

达达，公众号：Th0r安全Android逆向之smali

正文

这篇主要的难点应该是在于需要花时间发现这个XML文件中的这个字段，剩余的就是不断的往上追踪和hook，但是发现的部分作者已经找出来了，所以之后的比较套路常规。

用scrcpy显示真机

下载软件，注册账号，绑定常用地址

打开文件管理器，根据时间查看改变时间，之后在XML中找到关键字段

这时候解码出来是乱码，需要去跟踪代码，搜索关键词

继续跟踪mo66949d

继续跟进，发现是native

打开ida搜索相关

跟进CBC

然后初步假设AES_set_decrypt_key的第一个参数是key,AES_cbc_encrypt的第五个参数是IV，CryptoCore::cbcEncrypt是0x5A1C0

这里就可以写出frida的hook脚本了

通过点击该功能触发hook

这时候去解密验证一下