文章中所有内容仅供学习交流使用,不用于其他任何目的,抓包内容、敏感网址、数据接口均已做脱敏处理。严正声明禁止用于商业和非法用途,否则由此产生的一切后果与作者本人无关。若有侵权,请在下方联系方式中,联系我工具说明样本:脱敏!保密!保命!
抓包可以看到header里xxx中包含x1,x2,x3,x4,x5,x6,x7。
x6就是本次分析的目标。首先就是定位参数, 然后找到参数算法生成的位置, 都是OC层代码, 很简单直接跳过。
进入核心算法触发的调用点,固定入参发现结果一直在变,找到内部的随机数逻辑hook掉。
跑一个trace,这个样本倒不是很大。开始进入分析x6找到x6生成的地方可以看到x6的计算为:
w8 ^ w9 = target查找w8这列数值计算的地方
结果计算的地方同样是由w8,w9两个值add得到搜一下
继续找这块数据生成的部分看下0x42008873生成的地方继续看W15=0x4d7a9f97的生成熟悉的朋友想必已经发现0x6a09e667是sha256的h0
回到上头0x42008873的生成中,看W14=0xf485e8dc继续W13=0xaedaced5的生成中w3=0xa9237f7f的生成
那么w3分支对应sha256中S0,s0组成的temp1会和temp2有add,temp2中有W[i]参与,目的通过w[i]找明文。
找w[i],发现0x5b74f56中有明文操作经过分析:
w[64] = 0xeefa6859,找到0xeefa6859的生成地方,搜下:
找到W[0]找0x5f15b545即w[0]的生成,中途看到W[0]参与的计算
对应继续找w[0]的生成,找到
搜下0xc097c,明文填充0x80,拼接0拼接长度,然后bswap
继续定位 0x5f15b545的来源
发现又是新一次轮sha256,这里标记下,并且汇编地址0xc0b40上面有看到。
w14-> 0xaf9a9a47的生成
找0xf810018,之前图里提过w4=w[i]
找0x633c8d9f即w[i]
找到w[0]
找到填充bwap的地方
看到这里明文为转了大端序:长度为0x280对不上,结合上面的0x5c,2次sha56,诸多特征当然还有我后续的分析,确定这是HMAC-256。
验证下没问题:
Key的还原略过,找到后异或就行了。
继续分析数据明文:找一下和文章最后w9分析一致,v1通过a45678解码,v1是固定的,a45678也是固定的,结果解出来也是固定的,直接拿到结果保存使用就行。
看截图里0x2AD7D2BB,0xeb86d391还有运算这MD5嘛
找下入参明文,由x1, x2, x3, x4, x5, x7组成。
入参拿到后验证下, 标准md5没问题
找一下和文章最后w9分析一致, v1通过a45678解码, v1是固定的,a45678也是固定的,结果解出来也是固定的, 直接拿到结果保存使用就行。
省略N次
与下面W9分析那里逻辑一致, 解密出来结果的不同部分而已, 直接保存用就行。查找到w9的值,继续找生成
继续查找找到生成的地方
省略N次...按这个逻辑对应ida伪代码
这块和上边一样也是对v1通过a45678解码, v1是固定的 a45678也是固定的。结果解出来也是固定的, 直接拿到结果保存使用就行。本次是iOS基于trace法还原vmp的小尝试,vmp可借鉴材料的不多,自己也算摸索出来了一点皮毛。
文中如有错误,欢迎大家斧正,欢迎交流。
后面有时间会接着写剩下的参数还原~
欢迎大家关注,你们的关注是我自律的最大动力~trace:
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287163.htm
[原创]iOS某大厂vmp参数还原
310 浏览
12 回复
study
tql 了
dddd
脱敏脱的不错
LeeLinux
脱敏脱的不错
嘿嘿嘿
脱敏脱的不错
嘿嘿嘿
兔哥牛逼
六百六十六
tql
NB
感谢分享
不错的分享
这是用什么trace出来的,为什么可以这么全