1. 项目概述与核心目标最近在逆向分析圈子里一个叫“yd资讯”的App热度不低不少朋友都在讨论。这个App本身是一个信息聚合类应用但大家关注的焦点显然不在它的资讯内容上而是其背后的数据接口、加密逻辑以及可能存在的会员验证机制。作为一名常年和安卓应用“打交道”的逆向工程师我决定拿它来练练手也把这次实战分析的过程和踩过的坑记录下来。这篇文章不是教你破解或者做任何违规操作而是纯粹从技术研究的角度拆解一个典型安卓应用的逆向分析全流程包括环境搭建、静态分析、动态调试、协议抓取和算法还原。如果你对安卓逆向感兴趣想了解一个App从APK文件到理清其核心逻辑的完整路径那么这篇实战记录应该能给你提供一份清晰的“地图”。“yd资讯”作为一个样本具备一定的代表性它使用了常见的加固手段对网络请求进行了加密并且有相对完整的业务逻辑链。我们的目标很明确就是穿透这些保护层理解它的数据是如何从服务器获取、如何在客户端解密展示的。整个过程会涉及到诸如Jadx、Frida、Xposed、Charles/Fiddler等一系列工具我会详细说明每个工具在什么场景下使用以及如何组合它们来攻克难关。更重要的是我会分享在每一个环节中那些官方文档不会告诉你的“骚操作”和容易翻车的地方。2. 逆向环境准备与工具链选型工欲善其事必先利其器。安卓逆向的环境搭建是第一步也是劝退很多新手的门槛。一个稳定、高效的工具链能让你事半功倍。我的主力环境是Windows 11 安卓模拟器夜神/雷电辅以实体手机进行真机验证。为什么不直接用真机因为模拟器快照、多开、重置方便在反复测试和崩溃时能极大节省时间。2.1 核心静态分析工具静态分析顾名思义就是不运行程序直接分析它的代码和资源。这是逆向的起点。Jadx-GUI这是我们的“开山斧”。它能把APK文件中的DEX字节码反编译成可读性非常高的Java代码。对于“yd资讯”第一步就是把它拖进Jadx。这里有个关键技巧不要一上来就全局搜索。先浏览一下包结构通常像com.xxx.main、com.xxx.network、com.xxx.utils这样的包名能给你关于应用架构的初步印象。yd资讯的代码经过了一定混淆但还没到面目全非的地步类名和方法名还保留了一些语义信息这算是个好消息。APKTool SignApk这是拆解和重打包的“手术刀”。APKTool用于反编译APK资源如图片、布局XML、AndroidManifest.xml当你需要修改资源文件或查看加固后的原始DEX时它必不可少。SignApk则用于对修改后的APK进行签名没有签名修改后的应用无法安装。在对付yd资讯时我们可能需要先脱壳拿到真实的DEX再用APKTool处理。注意很多应用商店下载的APK是经过V2/V3签名的直接使用APKTool反编译再打包可能会破坏签名导致安装失败。这时候需要搭配其他签名工具或者处理签名块。2.2 动态调试与注入神器静态分析能看到代码逻辑但看不到运行时的数据。动态调试就是让应用跑起来我们像外科医生一样实时观察和干预它的行为。Frida这是当前逆向领域的“瑞士军刀”基于注入的Hook框架。它的强大之处在于你写一段JavaScript脚本就能在应用运行时拦截、修改任意Java/Native函数。对于yd资讯的网络加密函数用Frida去Hook打印出入参和返回值是定位关键代码最快的方式。我通常会在电脑上启动frida-server在手机/模拟器里然后用Python脚本加载JS脚本进行交互。Xposed老牌而经典的Hook框架。与Frida的“动态注射”不同Xposed需要安装框架模块更偏向于“持久化”修改。在需要编写一个长期生效的插件比如一直绕过某个检测时Xposed是更好的选择。但在初期的快速探索阶段Frida的灵活性和即时性更胜一筹。分析yd资讯时我主要用Frida做侦查后期验证某个修改是否有效时可能会写一个简单的Xposed模块。Charles/Fiddler Postern (ProxyDroid)抓包是分析网络协议的基石。Charles或Fiddler设置在PC端作为代理服务器。在安卓端如果应用没有做严格的证书锁定SSL Pinning直接在WIFI设置里配置代理即可。但yd资讯这类应用大概率会做证书锁定。这时候就需要Postern或ProxyDroid这类全局代理工具配合将Charles的根证书安装到系统信任区并强制流量走代理。有时候还需要用Frida去Hook掉证书验证的逻辑。2.3 辅助与效率工具MT管理器/NP管理器 (手机端)在真机上进行轻量级逆向的利器。可以查看APK信息、反编译、修改smali代码、替换资源等。当需要在真机上快速测试一个小修改时比在电脑上一套流程走下来要快得多。IDA Pro/Ghidra (可选)如果应用的关键逻辑用C/C写在Native层.so文件那么就需要这些反汇编工具。yd资讯初步看主要逻辑在Java层但保不齐加密核心在so库里所以它们要备着。模拟器推荐夜神、雷电、逍遥都行。我偏好雷电因为对Frida的支持比较稳定。关键一步一定要安装好对应的Google服务框架并关闭模拟器的ROOT检测。很多应用会检测运行环境发现是模拟器或者已Root就会触发风控或直接退出。在模拟器设置里有一个“隐藏Root”或“关闭Root”的选项务必开启。环境搭建的核心思路是静态看结构动态抓数据工具做桥梁。不要试图用一个工具解决所有问题合理的组合拳才是高效的关键。3. 应用初步侦查与脱壳处理拿到yd资讯的APK文件后别急着扔进Jadx。先做一次“体检”。3.1 基础信息收集使用aapt2或直接在MT管理器里查看APK的AndroidManifest.xml。重点关注包名 (package) 这是应用的唯一标识也是后面写Frida脚本时定位的关键。权限声明 看看它申请了哪些敏感权限比如网络、存储、电话状态等能侧面反映其功能。入口Activity 通常是MainActivity或SplashActivity这是应用启动的第一个界面。是否有android:extractNativeLibsfalse 这个属性如果为false意味着so库不会被解压到data目录可能会增加动态调试的难度。接着用Jadx打开APK。如果运气好代码清晰可读那么恭喜你可以直接进入下一阶段。但更常见的情况是你看到的可能是“壳”代码——即经过加固保护的代码。加固后的应用真正的业务逻辑DEX文件在运行时才会被解密并加载到内存中静态反编译看到的只是一小段用来解密和加载的“壳”程序。3.2 识别与脱壳实战对于yd资讯我一开始用Jadx打开发现核心的类和方法体内容非常少或者全是无意义的指令这就是典型的加固特征。市面上常见的加固有腾讯御安全、梆梆、爱加密等。脱壳的核心思路 在应用运行时当加固壳将真实的DEX解密并加载到内存后从内存中将完整的DEX文件“ dump ”导出出来。常用脱壳方法Frida内存Dump 这是目前最主流的方法。编写Frida脚本Hook Android系统底层加载DEX的关键函数如dalvik.system.DexClassLoader或java.lang.ClassLoader的loadClass方法或者更底层的OpenMemory等。当这些函数被调用时其参数中往往就包含了内存中DEX的起始地址和大小此时将这块内存数据写入文件就得到了脱壳后的DEX。网上有非常多现成的Frida脱壳脚本如dexDump可以根据加固厂商稍作修改即可使用。Xposed模块脱壳 原理类似编写Xposed模块Hook相关方法。好处是脱壳过程可以固化一次编写多次使用。基于模拟器或Root环境的工具 如FART、DumpDex等工具它们集成了一套更自动化的脱壳方案。我的操作过程我选择了Frida进行手动脱壳。首先确保Frida环境连通。然后加载一个通用的DEX内存dump脚本。启动yd资讯在应用启动完成、主界面加载出来这个时间点触发脚本。脚本会遍历内存中所有已加载的DEX文件并将其导出。通常我们会得到多个DEX文件其中体积最大的那个或者除了系统库之外最大的往往就是包含核心业务逻辑的。实操心得脱壳时机很重要。太早壳还没解密完太晚可能有些类已经加载完毕。最好在Application.onCreate()执行后或者主Activity的onCreate()中下断点或Hook。另外dump下来的DEX文件名可能是哈希值需要逐个用Jadx打开查看找到那个包含“yd资讯”相关包名的。成功脱壳后将得到的“干净”DEX文件替换原APK中的加密DEX使用APKTool反编译后替换或者直接单独用Jadx打开这个DEX文件进行分析。此时你应该能看到清晰的Java代码了类名如NewsApiService、DecryptUtil、UserManager等都会浮现出来。4. 关键代码定位与协议分析脱壳成功拿到了清晰的代码就像拿到了藏宝图。接下来就是按图索骥找到我们最关心的部分网络请求和数据加密。4.1 搜索与定位技巧在Jadx中利用好搜索功能是基本功。关键词搜索 直接搜索与网络相关的关键词。URL/域名相关 搜索“http”、“https”、“api”、“.com”或者你抓包看到的疑似域名。yd资讯的接口域名可能像api.xxx.com。网络库相关 搜索“okhttp3”、“Retrofit”、“HttpURLConnection”。现在主流应用多用OkHttp找到OkHttpClient的构建处很可能在那里添加了统一的拦截器Interceptor而加密逻辑就在拦截器中。加密相关 搜索“AES”、“DES”、“RSA”、“MD5”、“SHA”、“encrypt”、“decrypt”、“encode”、“decode”。特别是“Base64”它常作为加密后的输出或传输前的编码。调用链追溯 当你找到一个可能加密的函数比如encrypt(String data)右键点击选择“查找用例”或“分析调用关系”。这会展示所有调用这个方法的地方。逆向着调用链往上找你很可能找到网络请求的发起处。抓包辅助定位 这是动态结合静态的关键。先配置好抓包环境Charles启动yd资讯随意浏览几条新闻。在Charles里你会看到一堆乱码或者加密的请求和响应。记下其中一个请求的URL路径比如/v1/news/list。回到Jadx全局搜索这个路径“/v1/news/list”。很大概率能直接定位到定义这个API接口的Retrofit Service类或者某个负责组装的工具类。从这里入手分析请求参数的构建过程。4.2 加密算法初步判断在yd资讯的代码中我通过搜索“encrypt”和追溯网络请求调用链定位到了一个名为SecurityHelper的类。里面有几个关键方法public static String encryptParams(MapString, String params) { // 1. 将参数按键名排序拼接成 key1value1key2value2 格式 String sortedStr sortAndConcat(params); // 2. 在字符串末尾加上一个固定的 signKey String toEncrypt sortedStr 一个看起来像MD5的字符串; // 3. 计算MD5得到签名 String sign md5(toEncrypt); // 4. 将签名放入参数Map params.put(sign, sign); // 5. 将整个参数Map用某种方式可能是AES加密然后Base64编码 String encryptedBody aesEncrypt(mapToJson(params), aesKey); return Base64.encode(encryptedBody.getBytes()); }这是一个非常常见的客户端签名加密流程参数排序 - 拼接密钥 - 计算MD5签名 - 整体加密 - Base64编码传输。服务器端会用相同的密钥和逆过程进行验签和解密。我们的分析目标变得具体找到signKey和aesKey这两个密钥。它们可能是硬编码在代码里也可能是从服务器动态获取。确定AES加密的具体模式如AES/CBC/PKCS5Padding和初始向量IV。找到MD5计算和AES加密的具体实现函数。4.3 密钥的查找与隐藏逻辑密钥查找是逆向中最“猫鼠游戏”的环节。硬编码密钥 直接在代码中搜索字符串常量。密钥可能是一串十六进制数字或者Base64编码后的字符串。在Jadx中查看SecurityHelper类的静态初始化块或字段定义。有时开发者会简单分割一下用substring或者split拼接需要你手动还原。动态获取密钥 更安全的方式是首次启动时从服务器获取。这就需要你找到初始化网络请求的地方。搜索“init”、“getKey”、“config”等方法或者Hook应用启动时最早的网络请求。用Frida HookSecurityHelper类里使用密钥的地方打印出运行时密钥的值是最直接有效的方法。代码混淆对抗 密钥字符串可能被编码如Base64、Hex或者被拆分成字符数组在运行时拼接。遇到这种情况就需要仔细阅读代码逻辑或者直接Hook最终使用密钥的函数如Cipher.init方法在它被调用时打印出密钥字节数组。在yd资讯的案例中我通过静态分析发现aesKey是一个固定的字符串但被用异或操作进行了一个简单的变换。而signKey则是从某个配置接口的响应中解密得到的。这意味着要完全模拟请求你需要先模拟一次配置请求拿到signKey。5. 动态Hook验证与算法还原静态分析给了我们蓝图动态Hook则是我们的“施工监理”确保蓝图正确无误并能拿到运行时真实数据。5.1 Frida脚本编写与注入针对我们找到的SecurityHelper.encryptParams方法编写一个Frida脚本进行Hook。Java.perform(function() { // 定位到目标类 var SecurityHelper Java.use(com.yd.app.security.SecurityHelper); // Hook encryptParams 方法 SecurityHelper.encryptParams.implementation function(params) { console.log(\n[] encryptParams 被调用); // 打印入参参数Map console.log(原始参数Map:); var iterator params.keySet().iterator(); while (iterator.hasNext()) { var key iterator.next(); console.log( key - params.get(key)); } // 调用原方法获取加密结果 var result this.encryptParams(params); // 打印出加密后的结果Base64字符串 console.log(加密后结果 (Base64): result); // 为了进一步分析我们可以尝试解密这个结果如果我们已经知道密钥 // 这里可以调用我们自己的解密函数或者只是把结果记录下来。 send({encrypted_result: result}); // 发送到Python端方便保存 return result; }; // 也可以Hook具体的md5和aesEncrypt方法看中间过程 var SomeEncryptClass Java.use(com.yd.app.security.AESUtils); SomeEncryptClass.encrypt.implementation function(data, key) { console.log(\n[] AES加密被调用); console.log(明文: data); console.log(密钥: key); var result this.encrypt(data, key); console.log(密文: result); return result; } });将脚本保存为hook_yd.js通过frida -U -f com.yd.news -l hook_yd.js命令注入到正在运行的yd资讯进程中。然后操作App触发一个新闻列表请求。你会在控制台看到详细的日志输出原始的请求参数、计算出的签名、加密前的JSON、加密后的密文以及最终的Base64结果。5.2 算法还原与Python复现拿到所有输入输出和中间变量后算法还原就变成了“翻译”工作。我们需要用Python或其他语言重新实现一遍这个加密流程。参数排序与拼接 严格按照客户端代码的逻辑对参数字典按Key进行ASCII码升序排序然后拼接成keyvalue的形式。MD5签名计算 将拼接后的字符串加上signKey计算其MD5值32位小写十六进制。构建请求体 将签名sign加入原始参数Map然后将整个Map转换为JSON字符串。这里有个坑需要确认客户端用的JSON库是Gson、Fastjson还是系统自带的和序列化规则如对中文的Unicode转义处理必须完全一致否则生成的JSON字符串稍有不同就会导致服务器验签失败。AES加密 使用从客户端获取的aesKey和iv如果有采用相同的模式如CBC和填充方式如PKCS7进行加密。AES密钥和IV可能是字符串需要转换成字节数组。注意编码UTF-8还是ASCII。Base64编码 将加密后的字节数组进行Base64编码得到最终要POST的请求体。下面是一个简化的Python复现代码示例import hashlib import json from Crypto.Cipher import AES from Crypto.Util.Padding import pad import base64 from urllib.parse import quote_plus def yd_encrypt(params_dict, sign_key, aes_key, iv): # 1. 参数排序拼接 sorted_keys sorted(params_dict.keys()) sorted_str .join([f{k}{params_dict[k]} for k in sorted_keys]) # 2. 计算签名 sign_str sorted_str sign_key sign hashlib.md5(sign_str.encode(utf-8)).hexdigest().lower() # 3. 加入签名构建请求体JSON params_dict[sign] sign # 注意确保JSON序列化与客户端完全一致禁用ascii编码保持键序Python3.7 dict默认有序 request_body_json json.dumps(params_dict, ensure_asciiFalse, separators(,, :)) # 4. AES加密 (假设为CBC模式PKCS7填充) cipher AES.new(aes_key.encode(utf-8), AES.MODE_CBC, iv.encode(utf-8)) encrypted_bytes cipher.encrypt(pad(request_body_json.encode(utf-8), AES.block_size)) # 5. Base64编码 final_body base64.b64encode(encrypted_bytes).decode(utf-8) return final_body # 使用示例 my_params {page: 1, size: 20, timestamp: 1678888888} my_sign_key xxxxxx # 从Hook或代码分析中获得 my_aes_key 16/24/32byteskey # 同上 my_iv 16bytesivvector # 同上如果CBC模式需要 encrypted_data yd_encrypt(my_params, my_sign_key, my_aes_key, my_iv) print(最终请求体:, encrypted_data)用这个Python函数生成的请求体去替换抓包到的原始加密请求体如果服务器能正常响应并返回数据说明你的算法还原完全正确。6. 问题排查与实战避坑指南逆向分析从来不是一帆风顺的尤其是面对像yd资讯这样有一定防护的应用。下面是我在实战中遇到的一些典型问题及解决方案。6.1 抓包无数据或证书错误现象 Charles里看不到yd资讯的任何请求或者看到全是CONNECT方法和SSL Proxying not enabled for this host的错误。排查与解决确认代理设置 确保手机/模拟器的WiFi代理正确指向了Charles的IP和端口默认8888。安装Charles根证书 在手机浏览器访问chls.pro/ssl下载并安装证书。对于安卓7.0以上必须将证书安装到“系统信任的凭据”中而不仅仅是“用户凭据”。这通常需要Root后手动将证书文件移动到系统证书目录或者使用像“VirtualXposed”或“太极”这类免Root框架配合专门模块。应对SSL Pinning证书锁定 这是最常见的问题。应用内置了Charles证书的哈希值只信任它自己的证书。解决方法是用Frida或Xposed Hook掉证书验证的逻辑。常用的Hook点是okhttp3.CertificatePinner类的check方法或者TrustManager的相关方法。网上有现成的脚本如justTrustMe模块的Frida版可以禁用证书检查。使用全局代理工具 像Postern这样的App可以强制所有流量包括系统流量走代理有时能绕过一些简单的检测。6.2 Frida注入失败或进程崩溃现象 执行frida -U -f com.yd.news时提示连接超时、进程崩溃或者注入后App闪退。排查与解决检查Frida环境adb shell进入设备执行ps -A | grep frida-server确认frida-server正在运行。执行frida-ps -U确认能列出进程。应用反调试/反注入 yd资讯可能集成了反Frida的检测。常见检测手段检查进程名、端口默认27042、映射内存中的frida特征字符串。解决方案改名 将frida-server文件名改成别的如fs启动时也用./fs。改端口 启动frida-server时指定非默认端口./fs -l 0.0.0.0:8080连接时也用-H 设备IP:8080。使用强对抗工具 如objection工具它集成了一些反反调试的功能。Patch应用 找到检测代码用二进制编辑工具如IDA或smali修改工具直接NOP掉空操作检测逻辑。系统兼容性 确保Frida版本与设备架构arm/arm64/x86匹配。模拟器通常用x86版本。6.3 算法还原后服务器返回验签失败现象 用自己写的Python脚本加密的请求服务器返回“签名错误”或“解密失败”。排查与解决核对每一个步骤 这是最繁琐但最有效的方法。用Frida Hook把客户端加密过程的每一个中间变量都打印出来和你Python脚本生成的对应变量进行逐字节比对。排序后的参数字符串完全一致吗注意URL编码问题客户端可能对value进行了编码拼接signKey后的字符串一样吗计算出的MD5签名一样吗构建的JSON字符串完全一样吗多一个空格、换行符、键的顺序不同、Unicode转义差异都会导致MD5不同AES加密前的明文字节数组一样吗AES的密钥、IV、模式、填充方式确认无误吗关注编码问题 确保所有字符串到字节数组的转换使用的编码一致通常是UTF-8。但在某些老旧系统或特定库中可能会用GBK。时间戳等动态参数 确保你的请求参数中的timestamp、nonce等动态值与服务器时间窗匹配。如果服务器校验时间差你的本地时间需要同步。密钥是否正确 确认你使用的signKey和aesKey是当前会话有效的。如果密钥是动态获取的你的脚本也需要先模拟一次密钥获取的请求。6.4 脱壳后代码仍不清晰或被混淆现象 成功dump出DEX但用Jadx打开后类名、方法名、字段名仍然是混淆过的如a, b, c, a.a, a.b。应对策略字符串解密 关键字符串如URL、密钥提示可能被加密存储在代码中看到的是decrypt(1A2B3C...)的调用。需要找到这个decrypt方法用Frida Hook它或者自己用Python实现批量解密这些字符串常量能极大帮助理解逻辑。控制流平坦化 这是一种高级混淆打乱代码执行流程。对付这种需要用到反混淆工具如d810基于Ghidra或者进行耐心的人工分析识别出真实的分支逻辑。利用运行时信息 即使代码被混淆方法名是a.b.c但通过Frida Hook这些方法打印出它们的调用栈、参数和返回值结合调用上下文也能慢慢推断出它们的功能。比如一个方法被NewsListActivity调用其返回值又被传给一个渲染列表的控件那这个方法很可能就是获取新闻列表数据的。逆向分析是一场耐心的较量。每一个错误响应、每一次崩溃都是线索。养成详细记录每一步操作、每一个假设、每一次测试结果的习惯是最终成功的关键。对于yd资讯通过上述流程最终我能够完整模拟其新闻列表、详情页的所有请求理解了其从参数组装到加密传输的完整链路。这不仅仅是为了“破解”更重要的是在这个过程中你对安卓应用的安全机制、网络协议的设计和加密技术的应用会有一次深刻而透彻的实践认知。