不要告诉别人(你们有没有和平精英)和平在和平精英,跟大家一起分析和平精英程序原理,
更新时间:2022-11-04 00:43:00
访问次数:406
再现鸡腿挂无效版
有一个游戏玩家微信上联系我说在XX群买了一个和平精英大鸡腿挂无效版程序样本但是测试后并没有所谓的开挂功能,让我给分析下好家伙,鸡腿挂前阵子不是刚被腾讯端了全球最大游戏程序,黑产规模上亿元闲来无事,我来分析看看。
魔高一尺道高一丈这个鸡腿挂很厉害,分析起来很简单运行app,这货功能也太简单就凭这功能,分分钟钟被玩家举报主要就是开启应用和关闭应用点击开启应用会提示注入成功(实际上就是个弹框,没有功能)点击关闭应用就是把自己app强制退出而已。
分析基本结构
1、查下app是否有加壳,结果是没有加壳(查壳原理:比对app中是否有对应加固后新增的so文件)。
2、用apktool工具进行解包解包格式为:java -jar apktool的名字 d(反编译) 要解包的apk -o(输出) 文件名
解包后输出结果如下:只有java代码和资源文件。
通过在模拟器(夜神模拟器)环境下运行app,再通过adb命令进行查看app所加载的模块进行确认,确认该程序确实就是只有java代码。
3、该app是通过易安卓(E4A)进行开发的。易安卓是是中文编程的开发语言,也是易语言的移动端应用。
以下是易安卓的开发编译器的一面,纯中文式的编程开发。正因为入门简单也成为了黑灰产的主要开发语言。
分析搞笑功能
1、该app对类名和函数名进行混淆。混淆结果就是将类名和函数名设置无意义的名称。但是你这个在类名及函数名又进行功能注释。你这个确定不是来搞笑的吗?
2、我们看看搞笑的版本更新下载功能。更新流程是直接通过访问程序网址,进行校验是否需要进行程序版本更新
程序网址用于判断是否需要更新以及程序接入的吉吉发卡平台对应的信息截图。
app安装在安卓环境下是/data/data/目录下的对应包名文件,可这个程序样本,走不寻常路要将更新的新包放在/date/date/目录下,你确定不是来搞笑的吗?你这目录下能更新成功吗?答案是更新不成功。
分析关键功能
1、进行root功能检测通过执行su命令,从而进行判断当前环境是否已经root了。
2、开启应用功能首先判断当前环境是否root了,接着判断激活状态接着进行注入代码到游戏中(就是修改游戏的内存数据),不过该功能经验证已经失效了,(因为游戏地址更新了,注入的数据地址没有同步更新)。
3、收集获取当前环境的ip地址通过html方式读取查询ip的链接,并获取ip地址的具体信息。
总结
从技术上来说,该手游鸡腿挂无效版的实现技术、功能都非常简单以上只是针对鸡腿无效版程序进行一次非常简单的分析,因为该无效版程序功能确实比较简单,所以分析起来也是比较简单的,只需要一个jadx工具就可以进行整个功能的分析。
最后的最后,玩游戏还是正常的玩耍比较好不然弄个无效版的程序,你知道风险有哪些吗?被卖无效程序的卖家黑吃黑了,无效程序的样本往往会出现后门功能,还有游戏中用程序会导致游戏的封号一次性包邮赠送100本
—————END—————另外,给大家推荐份来自字节跳动大佬的算法进阶指南,据说有不少小伙伴靠这份指南成功掌握了算法的核心技能,拿到了 BAT offer希望对大家有帮助资料是 70K Star 的《labuladong 的算法小抄》(作者 labuladong)。
先来给你们看看里面具体都有哪些内容:
现在这本 PDF 免费分享给你,你可以扫描下方二维码回复 算法 来领取这本 PDF。
▲长按二维码进行关注▲▲回复「算法」,获取PDF▲
网友评论