最近朋友抱怨某软件的下载很慢,想在电脑上面直接下载观看。
众所周知此领域竞争激烈,所以安全意识普遍较高,分析起来较为困难,颇具挑战性。
目标以尽量以最快速度解决战斗,下面分享我的分析过程:
不够暴力,略。
网络协议是永恒的话题,数据流转的起点与终点,也是我们三板斧的开始。
在此简单总结下安卓网络框架现状:
okhttp:
大众框架,网上资料多,见过最多,例如本样本。
hook方案
可以选择插入HttpLoggingInterceptor,此方法网上很多,最早是珍惜的xposed模块,后来进化的frida模块,增强抗混淆xposed模块。
此方案反制方法太多,本人更喜欢直接hook缺点就是解析起来很麻烦。
cronet:
性能优于okhttp&boboav#xff0c;网上资料不多,大厂很多都用,例如字节,某手。
boboav
hook方案:
框架操作多数在native,java层没有像okhttp那样请求响应的读写点,如果java层hook建议分别hook,涉及类HttpUrlConnection:
旧时代产物了,多老版本使用。
hook方案这个还有可能其他实现类。
统统HOOK,打印结果
样本使用的是okhttp,但内容没有什么线索,数据都做过加密处理。
这时使用第二板斧,因为内存中会存在读写操作,猜测会存在一个下载列表,那就内存漫游起来
HOOK 几个关键类
结果在java.io.InputStreamReader(Ljava/io/InputStream;)V有意外惊喜:发现了m3u8文件!
拿到了m3u8文件就好办了,
文件里面有解密的key的存储位置,将他从手机中导出来。
下面就使用python编写脚本先下载m3u9文件里面的链接,再将其解密,最后再拼接起来就是一个完整的ts文件,具体代码如下
下载:
解密:
拼接:
结果,起飞
出了一期比较无脑的逆向文章,希望给大家提供另一种思路。
如果后续有感兴趣的朋友我可以继续出一篇改机无限观看功能文章,共同学习。
