快手6.8版本sig3算法破解

文章目录

快手6.8版本sig3算法破解
- 1、前言
- 2、sig3定位
- - 1、Jni_Onload 定位doCommandNative函数位置
  - 2、初探sub_c060函数
  - 3、hook sub_3E550函数看结果
  - 4、sub_3E550函数还原
  - 5、sub_3FDA4 算法还原。
  - 6、剩余部分算法还原。
- 3、算法验证
- 4、后记

1、前言

最近急性腰间盘突出，520当天晚上被救护车抬去医院，在医院的这几天感慨良多，腰间盘突出是真的折磨。哎，各位大哥长时间坐在电脑旁一定要保持良好的坐姿。快手最新版本的sig3算法变了，故写下这篇文章。

2、sig3定位

1、Jni_Onload 定位doCommandNative函数位置

RegisterNatives函数位于sub_88F4中。

sub_c060为doCommandNative。

2、初探sub_c060函数

起初看到sub_c060函数时头皮发麻，ollvm混淆的太乱太美观，导致ida f5都巨慢，附上美丽的cfg图。

看到这个流程图很多大哥直接劝退，回收站见。但方法总比困难多，我们可以从返回值开始，查找交叉引用，结合frida一步步的确定目标函数。sub_c060->sub_26BB8->sub_3AE54->sub_3AAF8->sub_3F920->sub_3E550

3、hook sub_3E550函数看结果

使用frida hook该函数，结果如下：

抓包的结果如下：

可以看到sub_3E550函数的返回值是sig3算法部分结果，并且该函数调用了两次，第一次是要加密的内容，第二次是一个base64的值。下一步开始还原该算法。

4、sub_3E550函数还原

sub_3e550函数部分片段如下:

点击dword_9e338查看

很明显这是sha256算法的常量表，该函数是sha256的变形。话不多说，开始调试。
用肉丝姐的反调试rom直接附加，成功断下。

开始愉快的trace之旅。

最后根据trace文件成功还原该算法。

除了ida trace之外还可以使用unicorn进行trace，个人认为unicorn trace的结果要比ida trace的结果好分析一些。

5、sub_3FDA4 算法还原。

frida hook sub_3fda4结果如下：

可以看到，经过sha256算法的返回值在经过这个函数，把sub_3FDA4 函数的结果在经过base64之后在进行base64就是sig3算法的部分值。同样，trace之后进行还原。

这两个位置的值，是读取图片的数据之后加密获得的，具体没去跟，因为同一个版本这个值不会变所以dump出数据就行，有兴趣的可以去跟下。至此sig3算法的部分还原完成。

6、剩余部分算法还原。

sig3后面的部分已经还原，但前面部分并没有，经过一系列的查找，确定算法位置为sub_24404

与当前时间戳异或一个值后进行进行加密。

3、算法验证

直接上图吧

4、后记

快手sig3是3179开头的版本的话算法应该差不多，只是数据改了下，有兴趣的大哥可以去试一下。最近想换工作，如果有大哥公司招人的话麻烦私信下小弟，不甚感激。本来想写的很详细的，但实在是不知从何开始，附件放上trace的文件吧，算法就不放了感兴趣的大哥可以试着还原下。最后说一句，腰间盘突出是真的难受，各位大哥要好好注意身体！！！