1. 逆向分析前的准备工作在开始逆向分析某汽车类App的请求加密逻辑之前我们需要做好充分的准备工作。首先得明确目标我们要复现App发送网络请求时的完整加密流程。这通常包括参数拼接、时间戳处理、签名生成等环节。我建议先用抓包工具如Charles或Fiddler对App的网络请求进行抓取观察请求参数的结构和规律。从经验来看这类App的加密参数往往带有明显的特征比如sign、token、encrypt等字段名。准备好逆向分析工具链也很关键。我习惯使用Jadx-GUI进行静态分析它能把APK反编译成可读的Java代码。Frida则是动态分析的利器可以实时Hook Java和Native方法。而今天的主角unidbg是一个能在PC端模拟执行Android原生代码so文件的工具特别适合处理那些把核心逻辑放在Native层的加密算法。记得提前安装好Java环境、Android SDK和Python运行环境这些都是基础中的基础。2. 关键加密函数定位技巧定位加密函数是整个逆向过程中最考验经验的部分。我常用的方法是关键词搜索调用链追踪。在Jadx中搜索encrypt、sign、encode等关键词往往能快速定位到可疑的加密方法。比如这次分析的汽车App搜索checkCode就发现了一个可疑的addCheckCode方法它的参数结构和我们抓包看到的签名参数高度吻合。用Frida进行Hook验证是确认目标函数的好办法。我写了个简单的Hook脚本Java.perform(function(){ let targetClass Java.use(com.example.encrypt.EncryptUtils); targetClass.addCheckCode.overload(java.lang.String, int).implementation function(p1, p2){ console.log(输入参数1: p1); console.log(输入参数2: p2); let result this.addCheckCode(p1, p2); console.log(加密结果: result); return result; } });Hook后发现这个方法确实生成了我们抓包看到的签名值。继续跟踪发现它最终调用了一个native方法这就引出了下一个重点——用unidbg模拟执行so文件。3. unidbg环境搭建与配置unidbg的优势在于不需要真机就能运行so文件大大提高了分析效率。我通常用以下命令快速创建一个unidbg项目git clone https://github.com/zhkl0228/unidbg cd unidbg mvn clean package创建一个新的Java项目引入unidbg的jar包后就可以开始写模拟执行代码了。首先需要初始化虚拟环境AndroidEmulator emulator AndroidEmulatorBuilder.for32Bit() .setProcessName(com.example.app) .build(); Memory memory emulator.getMemory(); LibraryResolver resolver new AndroidResolver(23); memory.setLibraryResolver(resolver); VM vm emulator.createDalvikVM();这里有几个关键点需要注意根据so文件的架构选择32位或64位模拟器设置正确的进程名有些so会校验这个值Android版本号要和目标App兼容加载so文件时要特别注意依赖关系Module module emulator.loadLibrary(new File(libencrypt.so));如果so依赖其他库文件需要先用emulator.loadLibrary()按顺序加载所有依赖库。4. 补环境技巧实战解析补环境是unidbg中最具挑战性的部分需要模拟Android系统的各种行为。根据我的经验汽车类App通常会对以下环境进行校验基础设备信息Build.MODEL、Build.MANUFACTURER等应用上下文包名、签名信息网络状态MAC地址、网络类型下面是一个典型的补环境示例处理系统属性读取Override public DvmObject? callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) { switch (signature) { case android/os/SystemProperties-get(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;: return new StringObject(vm, 模拟值); case android/app/ActivityThread-currentPackageName()Ljava/lang/String;: return new StringObject(vm, com.example.carapp); } return super.callStaticObjectMethod(vm, dvmClass, signature, varArg); }遇到报错时要耐心分析日志常见的补环境场景包括处理WifiInfo相关调用模拟PackageManager获取应用信息提供正确的系统版本信息我建议采用运行-报错-补环境的循环策略逐步完善环境模拟。记得每次只补一个缺失的环境这样更容易定位问题。5. 加密算法复现与验证当环境补全后就可以调用目标加密函数了。以我们分析的addCheckCode为例public String simulateEncrypt() { ListObject args new ArrayList(); args.add(vm.getJNIEnv()); // JNIEnv* args.add(0); // jobject/jclass args.add(vm.addLocalObject(new StringObject(vm, pageNo1pageSize10))); // 原始参数 args.add(2); // 固定参数 args.add(vm.addLocalObject(new StringObject(vm, 1638526032490))); // 时间戳 Number result module.callFunction(emulator, 0x13A18 1, args.toArray())[0]; return vm.getObject(result.intValue()).getValue().toString(); }这里有几个关键点参数顺序要和Native方法声明一致字符串参数需要用vm.addLocalObject包装函数偏移量需要根据IDA分析确定验证时要注意对比和Frida Hook得到的结果是否一致不同输入参数下的输出变化规律时间戳等动态参数的影响6. 常见问题与解决方案在实际操作中我遇到过不少坑这里分享几个典型问题的解决方法问题1unidbg执行时报内存访问错误原因so文件有反调试或环境检测解决用IDA分析so找到检测代码的偏移量在unidbg中Hook跳过问题2加密结果与真机不一致原因环境模拟不完整解决检查是否遗漏了以下环境设备指纹信息IMEI、AndroidID等应用签名校验网络代理状态问题3so文件加载失败原因依赖库缺失或架构不匹配解决// 显示加载依赖库 emulator.loadLibrary(libcrypto.so, true); emulator.loadLibrary(libssl.so, true);问题4性能问题原因复杂算法模拟执行慢解决启用unidbg的缓存功能只模拟关键函数而非整个流程考虑用JNI直接调用so文件7. 进阶技巧与优化建议经过多次实战我总结出几个提升效率的技巧批量测试脚本写个自动化脚本用不同参数反复调用目标函数快速验证稳定性def test_cases(): test_data [ (pageNo1, 123456789), (keywordtest, 987654321) ] for params, timestamp in test_data: result call_unidbg(params, timestamp) print(f输入:{params} 输出:{result})函数Hook技巧在unidbg中也可以Hook函数这对分析复杂调用链很有帮助emulator.getBackend().hook_add_new(new CodeHook() { Override public void hook(Backend backend, long address, int size, Object user) { if(address 0x1234){ // 目标函数地址 System.out.println(调用关键函数); } } }, 0, 0, null);日志分析技巧开启unidbg的详细日志配合正则表达式快速定位问题Logger.getLogger(com.github.unidbg).setLevel(Level.DEBUG);性能优化对于频繁调用的函数可以考虑用unidbg的缓存机制emulator.getBackend().enableVFP();在实际项目中我建议先聚焦核心加密逻辑等主要功能跑通后再处理边缘情况。记得保存好补环境的代码这对后续分析同类型App会有很大帮助。