1. Shopee风控算法逆向分析入门最近在研究Shopee的风控机制时我发现他们的Native层加密算法特别有意思。作为一个常年和移动安全打交道的开发者今天想和大家分享下使用Unidbg模拟执行Shopee风控算法的完整过程。Shopee作为东南亚头部电商平台其风控系统主要依赖名为libshpssdk.so的Native库。这个库负责生成关键请求参数比如常见的x-sap-ri签名。要逆向这个算法传统动态调试方法会遇到各种反调试检测而Unidbg这个神器就能完美避开这些麻烦。先说说我踩过的坑最开始直接用Frida去Hook发现根本拿不到完整调用链。后来转用Unidbg又遇到各种环境缺失报错。经过两周的折腾终于摸清了整套流程。下面我会从定位算法、补环境到完整调用一步步带大家走通这个逆向过程。2. 定位关键加密函数2.1 从HTTP请求入手首先用抓包工具观察Shopee的API请求会发现每个请求都带有x-sap-ri等加密参数。这些参数明显是客户端生成的我们需要找到生成逻辑的具体位置。我用的方法是Hook HashMap.put方法因为Java层最终都会通过Map来组装请求头。写个Frida脚本Java.perform(function(){ var HashMap Java.use(java.util.HashMap); HashMap.put.implementation function(key, value){ if(key x-sap-ri){ console.log(Java.use(android.util.Log).getStackTraceString( Java.use(java.lang.Throwable).$new())); console.log(x-sap-ri value:, value); } return this.put(key, value); } });运行后会打印出完整的调用栈关键信息如下at com.shopee.shpssdk.SHPSSDK.uvwvvwvvw(Native Method) at com.shopee.shpssdk.SHPSSDK.requestDefense(SHPSSDK.java:95)2.2 分析Native调用链通过JADX反编译APK定位到com.shopee.shpssdk.wvvvuwwu这个类其中有个native方法public static native String vuwuuwvw(byte[] bArr, byte[] bArr2);这就是我们要找的加密入口接下来需要确认对应的so库。通过Hook System.loadLibrary发现加载的是libshpssdk.so。3. Unidbg环境搭建3.1 基础框架搭建先创建一个基础的Unidbg模拟环境public class ShopeeEmulator extends AbstractJni { private final AndroidEmulator emulator; private final VM vm; private final Module module; private final DvmClass cWvvvuwwu; public ShopeeEmulator() { emulator AndroidEmulatorBuilder.for64Bit() .addBackendFactory(new DynarmicFactory(true)) .build(); Memory memory emulator.getMemory(); memory.setLibraryResolver(new AndroidResolver(23)); vm emulator.createDalvikVM(new File(shopee.apk)); vm.setJni(this); vm.setVerbose(true); DalvikModule dm vm.loadLibrary(new File(libshpssdk.so), true); dm.callJNI_OnLoad(emulator); module dm.getModule(); cWvvvuwwu vm.resolveClass(com/shopee/shpssdk/wvvvuwwu); } }3.2 首次运行报错分析直接调用加密函数会抛出异常public void callNative() { byte[] arg1 https://mall.shopee.com.my/api/v4/search/....getBytes(); byte[] arg2 null; StringObject result (StringObject)cWvvvuwwu.callStaticJniMethodObject( emulator, vuwuuwvw([B[B)Ljava/lang/String;, arg1, arg2); System.out.println(result.getValue()); }错误日志显示[WARN] handleInterrupt intno2, NR-127248, svcNumber0x10a这是个JNI调用异常说明缺少必要的环境参数。需要通过补环境来解决。4. 系统性补环境实战4.1 补JNI基础环境首先补上最基础的Android环境Override public DvmObject? callObjectMethodV(BaseVM vm, DvmObject? obj, String signature, VaList vaList) { switch(signature) { case android/app/ActivityThread-getApplication()Landroid/app/Application;: return vm.resolveClass(android/app/Application).newObject(null); case android/content/Context-getPackageName()Ljava/lang/String;: return new StringObject(vm, com.shopee.my); case android/content/pm/PackageManager-getInstallerPackageName(Ljava/lang/String;)Ljava/lang/String;: return new StringObject(vm, com.android.vending); } return super.callObjectMethodV(vm, obj, signature, vaList); }4.2 处理SharedPreferences算法会读取SP中的配置信息case android/content/SharedPreferences-getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;: String key vaList.getObjectArg(0).getValue().toString(); if(key.equals(E1YASQpPEEUQWR1CCUwVVVVw)) { return new StringObject(vm, f0VMRgEAAAAIAAAA4BwNgAAAAACAAAAJAAAAAVUUwFVA1JSSlNfXgZKU1BUA0oGVQVXSlYFVVNRBFFQUldQAwMAAAAIAAAAAFRQAQAAAAA); } return vaList.getObjectArg(1);4.3 补全应用信息还需要补全PackageInfo等应用基础信息Override public DvmObject? getObjectField(BaseVM vm, DvmObject? obj, String signature) { switch(signature) { case android/content/pm/PackageInfo-applicationInfo:Landroid/content/pm/ApplicationInfo;: return new ApplicationInfo(vm); case android/content/pm/ApplicationInfo-sourceDir:Ljava/lang/String;: return new StringObject(vm, /data/app/com.shopee.my/base.apk); } return super.getObjectField(vm, obj, signature); }5. 完整调用与结果验证5.1 最终调用代码补全环境后加密调用代码如下public void callNative() { byte[] arg1 https://mall.shopee.com.my/api/v4/search/....getBytes(); byte[] arg2 null; StringObject result (StringObject)cWvvvuwwu.callStaticJniMethodObject( emulator, vuwuuwvw([B[B)Ljava/lang/String;, arg1, arg2); System.out.println(加密结果 result.getValue()); }5.2 结果验证成功获取到如下格式的加密结果{ 253b8c85: hlGD6Ox0ErCcsv0i1q6GFgqetT, x-sap-ri: f4e55b675d1842b8a2f1d01301146b15925ce8c171ea82224c30 }多次调用会发现x-sap-ri每次都会变化说明算法内部有时间戳或随机数参与运算。6. 关键问题解决技巧6.1 常见报错处理JNI调用异常通常是缺少对应的Java环境需要通过AbstractJni补全内存访问错误检查so是否完整加载必要时补全依赖库参数格式错误确保传入的byte[]格式与Java层一致6.2 性能优化建议使用Dynarmic后端加速执行缓存已补的环境对象对固定返回值做内存缓存整个逆向过程中最耗时的部分是补全各种环境参数。建议先通过Frida动态分析获取真实参数再在Unidbg中模拟。遇到问题多看看Unidbg的日志输出里面通常会有明确提示。