安卓逆向系列教程 4.2 分析锁机软件
作者: 飞龙
这个教程中我们要分析一个锁机软件。像这种软件都比较简单,完全可以顺着入口看下去,但我这里还是用关键点来定位。
首先这个软件的截图是这样,进入这个界面之后,除非退出模拟器,否则没办法回到桌面。
上面那个“时空先生”是个按钮,直接按下会提示“密码错了”。我们以这个词为关键词来搜索:
发现字符串资源的名称是 _?m@0x7f040007
。我们到 public.xml
里面查一下,发现它的序号是 0x7f040007
,转成十进制是 2130968583
。
<public type="string" name="_?m@0x7f040007" id="0x7f040007" />
然后我们在反编译的 Java 代码里面搜索这个值:
paramAnonymous2View = (TextView)Floatw.access$L1000002(Floatw.this).findViewById(2131099651); paramAnonymous2View.setText(Floatw.this.getResources().getString(2130968583));
第一句是加载某个文本框,第二句是获取字符串并设置文本。
我们再往上看:
@Override public void onClick(View paramAnonymous2View) { int i = Floatw.this.my_password; if (this.val$etext.getText().toString().equals(String.valueOf(i))) { paramAnonymous2View = Floatw.this; Floatw localFloatw = Floatw.this; try { Class localClass = Class.forName("com.as.xiaoyu.Floatw"); paramAnonymous2View.stopService(new Intent(localFloatw, localClass)); return; } catch (ClassNotFoundException paramAnonymous2View) { throw new NoClassDefFoundError(paramAnonymous2View.getMessage()); } } // 刚才的代码 // ... }
如果 val$etext
的内容等于 i
的字符串值,那么就会关闭服务并退出。我们往下看看便可知道,这个软件启动之后就创建了一个服务,服务中获取了 WindowsManager
,然后加载了一个 LinearLayout
并添加它,来实现锁屏的效果:
private void createFloatView() { this.wmParams = new WindowManager.LayoutParams(); Application localApplication = getApplication(); this.mWindowManager = ((WindowManager)localApplication.getSystemService(Context.WINDOW_SERVICE)); this.wmParams.type = 2010; this.wmParams.format = 1; this.wmParams.flags = 1280; this.wmParams.width = -1; this.wmParams.height = -1; this.mFloatLayout = ((LinearLayout)LayoutInflater.from(getApplication()).inflate(2130903041, (ViewGroup)null)); this.mWindowManager.addView(this.mFloatLayout, this.wmParams); this.mFloatLayout.measure(View.MeasureSpec.makeMeasureSpec(0, 0), View.MeasureSpec.makeMeasureSpec(0, 0)); }
也就是说,如果使服务关闭,那就解除了锁屏。
我们查看 onClick
的第一行,发现 i
是 my_password
,然后再找找 my_password
:
int my_password = this.number * 2 + 1; int number = (int)((Math.random() + 1) * 100000);
发现了这两句,知道了它的值是 number
乘二再加一。但是 number
是什么呢?我们再找找 number
。
Object localObject = (TextView)Floatw.access$L1000002(Floatw.this).findViewById(2131099650); String str = Floatw.this.getResources().getString(2130968582); ((TextView)localObject).setText(str + String.valueOf(Floatw.this.number));
这些代码加载了一个文本框和字符串,然后将字符串与 number
拼接再显示出来。这个字符串,我们以相同方式寻找,是 此机ID:
,那么 number
就应该是后面的数字。我这里是 108316
,那么密码就应该是 216633
。
下面有一句代码:
localObject = (EditText)Floatw.access$L1000002(Floatw.this).findViewById(2131099649);
2131099649
的十六进制为 0x7f060001
,经查找可知它是个输入框:
<EditText android:textColor="#ff000000" android:id="@id/_?m@0x7f060001" android:background="#ffffffff" android:layout_width="200.0dip" android:layout_height="4.0dip" android:layout_marginEnd="200.0dip" />
这里反编译出了一些问题,没见到 val$etext
的直接赋值,不过它应该就是这个编辑框。接下来的任务就是找到它。其实也不难,我们可以看到这个编辑框的高度很小,但是还有宽度,我们在按钮左下方的大致位置上点一点,它就出来了。
我们把编辑框的内容全部删除,然后输入 216633
,再次点击这个按钮。
解锁成功。现在我们可以按下返回键来退出了。