逆向XX助手获取Lua脚本明文 -- By 飘云

飘云

今天来看看xx助手的lua脚本解密

1.      找寻线索

/Library/MobileSubstrate/DynamicLibraries下面看到 XXScreenShot.dylibXXScreenShot.plist

Plist内容如下

<?xml version="1.0"encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC"-//Apple//DTD PLIST 1.0//EN""http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

         <key>Filter</key>

         <dict>

                   <key>Bundles</key>

                   <array>

                            <string>com.apple.backboardd</string>

                   </array>

         </dict>

</dict>

</plist>

恩，明白了是hook了backboardd进程

2.      静态分析

IDA 载入 XXScreenShot.dylib

分析了一下，x23寄存器是输出缓冲区

3.      动态调试

手机端运行：

Mac端运行：

4．下断

         

此时在目标程序上点击“播放”，让脚本载入

5．继续分析

由于前面用IDA分析过x23寄存器保存了输出数据，那么我们直接在0x103d12cdc下断点，此时x23已经得到了数据，下好断点后，继续运行，如下图，顺利中断

6．输出数据

此时lua脚本已经完整解密了！！！

7．编写tweak

我们可以写个tweak来抓取脚本

1. /*
   
2. 获取xx助手lua脚本
   
3. By 飘云/P.Y.G
   
4. 2015-04-29
   
5.   https://www.chinapyg.com
   
6. */
   
7. 
   
8. #import <substrate.h>
   
9. #import <pthread.h>
   
10. 
    
11. 
    
12. // 原始函数
    
13. signed int (*orig_XxteaDecrypt)(const char *inBuf, size_t bufLen, const char *key, size_t a4, char *outBuf, int a6);
    
14. 
    
15. signed int  myXxteaDecrypt(const char *inBuf, size_t bufLen, const char *key, size_t a4, char *outBuf, int a6)
    
16. {
    
17.     signed int  ret = orig_XxteaDecrypt(inBuf, bufLen, key, a4, outBuf, a6);
    
18.     NSString *str = [NSString stringWithCString:outBuf encoding:NSUTF8StringEncoding];
    
19.    
    
20.     //NSLog(@"[++++]%s", outBuf);
    
21.     NSLog(@"[++++]%@", str);
    
22.     return ret;
    
23. }
    
24. 
    
25. void *threadFun(void*)
    
26. {
    
27.     while (true)
    
28.     {
    
29.         void *lpFun = ((void*)MSFindSymbol(NULL, "__Z12XxteaDecryptPKciS0_iPci"));
    
30.         if (lpFun)
    
31.         {
    
32.             NSLog(@"[++++]lpFun = %p", lpFun);
    
33.             MSHookFunction(lpFun, (void*)myXxteaDecrypt, (void**)&orig_XxteaDecrypt);
    
34.             NSLog(@"[++++]orig_XxteaDecrypt = %p", orig_XxteaDecrypt);
    
35.             break;
    
36.         }
    
37.     }
    
38.     return NULL;
    
39. }
    
40. 
    
41. static __attribute__((constructor)) void piaoyun()
    
42. {
    
43.     // 用线程来查找，以免xx的dylib后加载而找不到函数
    
44.     pthread_t th;
    
45.     int err = pthread_create(&th, NULL, threadFun, NULL);
    
46.     if (err != 0)
    
47.         printf("[++++]pthread_create error: %s\n", strerror(err));
    
48.    
    
49.     NSLog(@"[++++]inject success!!!!");
    
50. }

复制代码

8．Tweak演示

题后话：当然你也可以自己写个程序静态解密lua脚本，我不太喜欢折腾，就直接tweak了。。

PDF文档下载：
逆向XX助手获取Lua脚本明文.zip (1.55 MB, 下载次数: 58)

2015-4-29 15:18 上传

点击文件名下载附件

Dxer

xy苹果助手？羡慕飘哥IOS等各方面的实力，mark一份学习

熊猫正正

吊炸天，嘿嘿

erui

经验之谈，学无止境呀！

0xcb

运行时的Method Swizzling，很方便的就拿到方法参数，赞，玩coc的时候用过叉叉助手，

stucky

太牛逼了。可以拿电脑上的lua脚本吗?

Michaelz

这个tweak咋写呀，我写的咋打印不出来内容呢！

Michaelz

谁有现成的编译完的分享下？

tree

顶顶更健康{:soso_e102:}

倪美

食我大雕{:soso_e104:}