滑雪大冒险2 App内购
前言
相信这个游戏很多人都玩过,游戏里面的道具和地图都是需要出钱购买的;而且不同平台下载的这个APP,里面道具的购买方式可能不一样,但是原理都一样;
这里的支付方式是支付宝和微信.....
工具
- 夜神模拟器
- AndroidKiller_v1.3.1
- Apktool
- JEB2
- Monitor.exe
分析
先让夜神模拟器与monitor.exe连接,找到一些活动的名称,减少工作量:
nox_adb.exe connect 127.0.0.1:62001
然后我们点击支付按键,然后在monitor中Clear LOG,此时点击返回键取消支付,查看LOG:
我们发现一个Yodo1PayHelper的可疑活动,猜测我们支付成功与否就与它有关;
在 AndroidKiller_v1.3.1中搜索这个字符串,找到文件的位置然后在jeb2中查看:
看到文件位置在com\yodo1\android\sdk\helper中:
然后我们反编译这个smali文件,发现在onResult类里面有一些关键函数:
case 2: {
this.this$2.this$1.this$0.removeProductDatatoLocal(this.this$2.this$1.val$activity, this.this$2.this$1.val$productData);
if(arg8 == v4) {
YLog.i("Yodo1PayHelper, 这是已购买的商品,购买成功");
this.this$2.this$1.this$0.purchased(1, this.this$2.this$1.val$channelPayInfo.getOrderId(), this.this$2.this$1.val$productData, this.this$2.this$1.val$payType);
return;
}
this.this$2.this$1.this$0.purchased(2, this.this$2.this$1.val$channelPayInfo.getOrderId(), this.this$2.this$1.val$productData, this.this$2.this$1.val$payType);
break;
}
发现这里有购买成功的字样;
仔细分析这个文件的内容你会发现他的业务逻辑是:
用户发起购买请求-->获取购买的商品信息-->查询订单状态-->订单状态校验成功-->提交订单状态-->购买成功
所以,我们可以修改它的流程,不管订单状态,直接返回购买成功;
修改
通过"购买成功"字符串转Unicode后查找到onResult类所在的smali文件的位置:
:goto_1
if-ne p2, v4, :cond_5 //修改时删除
.line 435
const-string/jumbo v1, "Yodo1PayHelper, \u8fd9\u662f\u5df2\u8d2d\u4e70\u7684\u5546\u54c1\uff0c\u8d2d\u4e70\u6210\u529f"
invoke-static {v1}, Lcom/yodo1/sdk/kit/YLog;->i(Ljava/lang/String;)V
.line 436
iget-object v1, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;
iget-object v1, v1, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;
iget-object v1, v1, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->this$0:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper;
iget-object v2, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;
iget-object v2, v2, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;
iget-object v2, v2, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$channelPayInfo:Lcom/yodo1/sdk/adapter/entity/ChannelPayInfo;
invoke-virtual {v2}, Lcom/yodo1/sdk/adapter/entity/ChannelPayInfo;->getOrderId()Ljava/lang/String;
move-result-object v2
iget-object v3, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;
iget-object v3, v3, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;
iget-object v3, v3, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$productData:Lcom/yodo1/android/sdk/helper/ProductData;
iget-object v4, p0, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1$1;->this$2:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;
iget-object v4, v4, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4$1;->this$1:Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;
iget-object v4, v4, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper$4;->val$payType:Lcom/yodo1/android/sdk/constants/PayType;
invoke-virtual {v1, v5, v2, v3, v4}, Lcom/yodo1/android/sdk/helper/Yodo1PayHelper;->purchased(ILjava/lang/String;Lcom/yodo1/android/sdk/helper/ProductData;Lcom/yodo1/android/sdk/constants/PayType;)V
goto/16 :goto_0
然后这段就是购买成功的smali代码了,所以只要我们在开始的位置加一个goto/16 :goto_1,并且把if-ne p2, v4, :cond_5这句删除了,那么我们在购买东西是就可以绕过检测了:
最后Apktool编译,然后签名安装就可以了.....
效果
点击购买,然后取消可以了....
总结
Android逆向的难点主要在于麻烦与类的繁杂,并且需要不断的编译签名安装运行验证....