Android微信逆向--实现发朋友圈动态

Android微信逆向--实现发朋友圈动态 

0x0 前言#

最近一直在研究Windows逆向的东西,想着快要把Android给遗忘了。所以就想利用工作之余来研究Android相关的技术,来保持对Android热情。调用微信代码来发送朋友圈动态一直是自己想实现的东西,研究了一下,果然实现了,遂写下本文当作记录。本文主要分析发送纯文字朋友圈动态和发送图片朋友圈动态。

0x1 朋友圈动态类型分析#

本文用到的工具如下:

  • PC
  • 一台可以调试微信进程的Android手机
  • 微信7.0.11
  • ddms(用于跟踪调用过程)
  • uiautomatorviewer(用于定位控件id)
  • jadx(用于对微信apk静态分析)
  • frida(用于hook微信,获得相关信息,发布朋友圈)

在分析代码之前,首先要定位到与之相近的地方,我们首先想到的肯定是发朋友圈动态那个界面,如何查看发朋友圈动态的界面是哪个Activity呢?很简单,先在手机上打开发表朋友圈动态的界面

把手机连接电脑,打开USB调试,在PC的cmd窗口中执行以下命令:

adb shell dumpsys activity top

可以看到发朋友圈动态的Activity就是com.tencent.mm.plugin.sns.ui.SnsUploadUI

虽然找到了Activity,但还是不能高兴太早,想要通过Activity知道哪部分是发朋友圈的动态代码还是比较费力的。于是我们就想到从“发表”按钮入手,找出发表朋友圈动态的相关代码。点击“发表”按钮会发生什么?发表是一个动态的行为,我们可以通过跟踪点击“发表”按钮时的调用过程,来找到有用的信息。跟踪调用过程,可以使用ddms工具来完成。打开ddms,选中微信进程,在手机中打开发表朋友圈界面,然后在ddms中点击下图圈出的图标开始跟踪:

将朋友圈动态发出,再点一次上图圈出的图标停止跟踪。ddms会生成跟踪结果,对于跟踪结果,怎么找到按钮事件相关的信息呢,学过Android的朋友就会想到onClick方法,那我们就在ddms的搜索结果中搜索这个名称:

成功的定位到了onClick的位置,但是比起这条onClick结果,更加令人引人注目的是它的上一条结果,因为它包含了我们刚才找到的Activity的类名:

知道这个方法被调用,我们去看看com.tencent.mm.plugin.sns.ui.SnsUploadUI类里的OnMemuItemClick究竟是什么。

用jadx打开微信apk,定位到com.tencent.mm.plugin.sns.ui.SnsUploadUI类,在类中搜索onMemuItemClick,结果不多,看起来比较像的就是这个onMemuItemClick了:

在onMemuItemClick方法中看到了:

String unused2 = SnsUploadUI.this.desc = SnsUploadUI.this.tQN.getText().toString();

这行代码有什么特别的呢,在我看来,有两个特别的地方:

  • desc是描述(description)的英文单词的缩写
  • this.desc被赋予this.tQN.getText().toString()

我们发朋友圈动态时候,是要写动态的描述的,所以这个desc可能就是发朋友圈动态的描述,如果是描述,我们就可以根据这个描述,顺藤摸瓜找到发朋友圈动态的地方。而且this.desc的值又来自于this.tQN.getText().toString(),即this.tQN很有可能就是我们填写动态描述的文本框。我们来看看this.tQN赋值的地方,它在onCreate方法被赋值:

可以知道它的id是d41,那么d41是哪个控件?打开uiautomatorviewer,对发朋友圈界面截图分析,点击截图中的文本框,uiautomatorviewer右侧跳转到了相应的位置,果然,d41就是发动态时填写描述文本框的id

好了,现在知道this.desc就是发表朋友圈动态时的描述,跟上他应该就可以找到发朋友圈动态的地方。继续往onMemuItemClick方法下部分析,可以看到this.desc被传入了SnsUploadUI.this.tQO.a方法:

SnsUploadUI.this.tQO.a方法定义在接口com.tencent.mm.plugin.sns.ui.z中:

知道它定义在哪个接口并不能解决问题,毕竟接口没有实质性代码,要找还得找接口的的实现类,在com.tencent.mm.plugin.sns.ui.SnsUploadUI类中寻找this.tQO在哪里会被赋值。最终,我们在com.tencent.mm.plugin.sns.ui.SnsUploadUI类的ag方法中看到了许多给this.tQO赋值的地方:

由此,可见this.tQO被赋予什么值是根据this.tMY来决定的,this.tMY是一个int类型的数据,那我们hook com.tencent.mm.plugin.sns.ui.SnsUploadUI类的ag方法就可以知道this.tMY是什么值。在这里,我用frida来hook,frida的javascript部分代码如下:

var SnsUploadUI= Java.use('com.tencent.mm.plugin.sns.ui.SnsUploadUI');
var ag = SnsUploadUI.ag.overload("android.os.Bundle");
//get sns type
ag.implementation=function(bundle){var ret = ag.call(this,bundle);send("sns type = " + this.tMY.value);return ret;
}

hook之后,每当我们在手机上打开发布朋友圈动态的界面,ag方法被调用,控制台就会输出相应的数字。经过我的测试,这个数字是发表朋友圈动态的类型。朋友圈类型和其对应类如下:

  • 0 带图片的动态,对应:com.tencent.mm.plugin.sns.ui.ai
  • 9 纯文字动态,对应:com.tencent.mm.plugin.sns.ui.ae

这些类都直接或间接的实现了上面讲到的com.tencent.mm.plugin.sns.ui.z接口。这样一来,就知道this.tQO会根据朋友圈的动态类型进行初始化,那么,上面的SnsUploadUI.this.tQO.a方法很有可能就是发朋友圈动态的方法。接下来,我们根据不同的朋友圈动态所对应的类来分别分析

0x2 文字动态分析#

文字动态分析起来应该比图片动态来说简单一些,我们就先来分析它。上面讲到,这类动态对应类是com.tencent.mm.plugin.sns.ui.ae,这个类里我们主要看a方法,在看a方法之前,先看它传入什么参数,为了看清楚,这就要回看上文onMenuItemClick方法调用a方法的地方:

public final boolean onMenuItemClick(MenuItem menuItem) {String unused2 = SnsUploadUI.this.desc = SnsUploadUI.this.tQN.getText().toString();int pasterLen = SnsUploadUI.this.tQN.getPasterLen();int privated = SnsUploadUI.this.tKm.getPrivated();int syncFlag2 = SnsUploadUI.this.tKm.getSyncFlag();......PInt pInt = new PInt();if (SnsUploadUI.this.tQO instanceof a) {Bundle bundle = new Bundle();bundle.putInt("param_is_privated", privated);bundle.putString("param_description", SnsUploadUI.this.desc);bundle.putStringArrayList("param_with_list", new ArrayList(SnsUploadUI.this.uij.getAtList()));bundle.putInt("param_paste_len", pasterLen);try {bundle.putByteArray("param_localtion", SnsUploadUI.this.uik.getLocation().toByteArray());} catch (IOException e2) {ab.printErrStackTrace("MicroMsg.SnsUploadUI", e2, "parse location error", new Object[0]);}bundle.putBoolean("param_is_black_group", SnsUploadUI.this.tQS);bundle.putStringArrayList("param_group_user", SnsUploadUI.this.tQR);bundle.putInt("param_contact_tag_count", SnsUploadUI.this.tOk);bundle.putInt("param_temp_user_count", SnsUploadUI.this.tOl);pInt.value = ((a) SnsUploadUI.this.tQO).getContentType();z unused4 = SnsUploadUI.this.tQO;} else {SnsUploadUI.this.tQO.a(privated, syncFlag2, SnsUploadUI.this.tKm.getTwitterAccessToken(), SnsUploadUI.this.desc, SnsUploadUI.this.uij.getAtList(), SnsUploadUI.this.uik.getLocation(), (LinkedList<Long>) null, pasterLen, SnsUploadUI.this.tQS, SnsUploadUI.this.tQR, pInt, SnsUploadUI.this.tOj, SnsUploadUI.this.tOk, SnsUploadUI.this.tOl);}
}

这就是a方法调用的地方,根据这段代码和编写hook a方法的代码来推出它的参数。hook代码如下:

var ae = Java.use('com.tencent.mm.plugin.sns.ui.ae');
var ae_a = ae.a.overload("int","int","org.b.d.i","java.lang.String","java.util.List","com.tencent.mm.protocal.protobuf.bdi","java.util.LinkedList","int","boolean","java.util.List","com.tencent.mm.pointers.PInt","java.lang.String","int","int");
ae_a.implementation = function(isPrivate,syncFlag2,twitterAccessToken,desc,atList,location,list1,pasterLen,bool1,list2,pint1,str1,num1,num2){var ret = ae_a.call(this,isPrivate,syncFlag2,twitterAccessToken,desc,atList,location,list1,pasterLen,bool1,list2,pint1,str1,num1,num2);console.log("************Basic Info************");console.log("isPrivate = " + isPrivate);console.log("syncFlag2 = " + syncFlag2);console.log("twitterAccessToken = " + twitterAccessToken);console.log("desc = " + "'" + desc + "'");if(atList.size()>0){for(var i=0;i<atList.size();i++){console.log("atList[" + i + "] = " + atList.get(0));}}if(location != null){if(location.yRD.value != null){console.log("location.yRD = " + location.yRD.value);}if(location.yRE.value != null){console.log("location.yRE = " + location.yRE.value);}}console.log("list1 = " + list1);console.log("pasterLen = " + pasterLen);console.log("bool1 = " + bool1);if(list2 != null){console.log("list2 = " + list2.size());}else{console.log("list2 = " + list2);}console.log("pint1 = " + pint1.value.value);console.log("str1 = " + str1);console.log("num1 = " + num1);console.log("num1 = " + num1);return ret;
}//ae.a

hook成功后,发一条纯文字的朋友圈动态,打印出:

所以,可得:

- privated(int):动态是否私密:0公开,1私密
- desc(String):朋友圈的文本
- AtList(List<String>):艾特人的wxid
- Location(com.tencent.mm.protocal.protobuf.bdi):定位信息

好多参数我们不知道是什么,不过问题不大,那些我们需要的参数已经能搞懂了。懂得a方法的参数,那能否尝试直接调用它?先来看一下com.tencent.mm.plugin.sns.ui.ae类的构造函数能否调用:

构造函数有Activity类型的参数,Activity类型的参数是很难构造的,所以放弃构造com.tencent.mm.plugin.sns.ui.ae类来调用a方法。那我们直接去看a方法,看能不能找到有用的东西。由于是文字动态,所以我们着重关注传入的文本,即com.tencent.mm.plugin.sns.ui.SnsUploadUI类的desc成员,在a方法中它是第4个参数:

可见this.desc在a方法中它是str,而且在a方法中,str只有一处引用:

str传给了ayVar.adk()方法,找一下ayVar来自哪里,它在a方法里初始化,而且初始化方式很简单:

只传入一个数字就能初始化,我们初始化ay类的时候不用深究这个数字是什么,和它传入一样的值即可。在a方法的尾部,还看到一个引人注目的commit方法:

猜测这就是发布朋友圈的方法,写个简单的frida脚本来验证一下:

if(Java.available)
{Java.perform(function(){var ay_class = Java.use("com.tencent.mm.plugin.sns.model.ay");var desc = "To be, or not to be, that is a question.";var ayInstance = ay_class.$new(2);ayInstance.adk(desc);ayInstance.commit();});
}

文字动态的内容是:To be, or not to be, that is a question.。果不其然,脚本运行后,文字动态发表成功了

经过对com.tencent.mm.plugin.sns.ui.ae的a方法的分析,我们可以知道,a方法主要传入一些发朋友圈动态所需要的通用的数据,比如动态是否私密,动态的文字描述,艾特的人,定位信息等,这些信息在其他类型的朋友圈动态中也会用得到。我们还知道发文字动态只需要文字描述就能发表成功。

0x3 带图片的朋友圈动态分析#

带图片的的动态和文字动态差不多,只是多加了图片的参数,我们在分析此类动态时多关注图片在哪传入即可。带图片的动态对应的类是com.tencent.mm.plugin.sns.ui.ai,有了上面的经验,我们直接去看它的a方法(ai类有许多a方法,注意这里说的a方法参数和com.tencent.mm.plugin.sns.ui.z接口里的a方法参数一致)。在a方法的开头,看到利用迭代器去遍历一个列表,遍历过程中组装com.tencent.mm.plugin.sns.data.j类的数据,然后把j类放入链表linkedList2中:

在组装数据的时候,我们看到j类构造时传入一个字符串和数字,而这个字符串对应j类的path字段,这可能就是图片的路径:

那么我们猜测j类就是存储朋友圈的动态图片信息的类,上面提到j类被放入链表linkedList2中,那么来看linkedList2被哪里引用了

看到醒目的字符串:commit pic size,这应该是日志要打印的字符串,现在基本上可以确定j类就是存储要发表的图片的信息的类了,那么linkedList2就是存储所有将要发表的图片信息,继续往下寻找linkedList2还被哪里引用了

可以看到linkedList2传入两个地方,一处传入a方法:

另一处传入com.tencent.mm.plugin.sns.ui.ai$a类构造函数:

linkedList2传入a类后,又赋值给成员变量tPF,这个tPF成员变量只在a类的dU方法中被引用

而dU方法在哪里调用呢?在a类的父类:com.tencent.mm.plugin.sns.model.h中,我们看到dU方法在u方法被调用:

而u方法在ai类的a方法中调用(可以回看前面的图)。分析到这,上面的linkedList2传出去之后都终有所属了,即最终都传入了com.tencent.mm.plugin.sns.model.ay类ey方法。知道图片往哪传了,就写段frida代码调用试试吧

if(Java.available)
{Java.perform(function(){var ay_class = Java.use("com.tencent.mm.plugin.sns.model.ay");var j_class = Java.use("com.tencent.mm.plugin.sns.data.j")var desc = "To be, or not to be, that is a question.";var likedList_class = Java.use("java.util.LinkedList");var linkedListInstance = likedList_class.$new();var ayInstance = ay_class.$new(1);var jInstance1 = j_class.$new("/storage/emulated/0/test1.jpg",2);var jInstance2 = j_class.$new("/storage/emulated/0/test2.jpg",2);var jInstance3 = j_class.$new("/storage/emulated/0/test3.jpg",2);linkedListInstance.add(jInstance1);linkedListInstance.add(jInstance2);linkedListInstance.add(jInstance3);ayInstance.ey(linkedListInstance);ayInstance.adk(desc);ayInstance.commit();});
}

上面的代码在发送文本动态代码的基础上初始化三个j类,分别传入三个本地图片路径,再将三个类实例添加到链表,再将链表传入ay类的ey方法,最后调用ay类的commit方法将动态发送出去,代码运行,发现带图片的朋友圈动态发表成功:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/114322.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

邻接表存储图或者树

大家好&#xff0c;我叫徐锦桐&#xff0c;个人博客地址为www.xujintong.com。平时记录一下学习计算机过程中获取的知识&#xff0c;还有日常折腾的经验&#xff0c;欢迎大家来访。 介绍 每个顶点都作为头节点&#xff0c;并且存在一个一维数组中h[N]。树就是相当于一种有向图…

redis哨兵模式详解

目录 前言&#xff1a; 手动干预主节点挂的情况 哨兵节点操作流程 哨兵重新选取主节点流程 主观下线 客观下线 哨兵节点选leader 挑选从节点作为主节点 前言&#xff1a; redis在主从模式下&#xff0c;主节点服务就显的尤为重要。为了保证redis集群的高可用&#xff0…

论文阅读-FCD-Net: 学习检测多类型同源深度伪造人脸图像

一、论文信息 论文题目&#xff1a;FCD-Net: Learning to Detect Multiple Types of Homologous Deepfake Face Images 作者团队&#xff1a;Ruidong Han , Xiaofeng Wang , Ningning Bai, Qin Wang, Zinian Liu, and Jianru Xue &#xff08;西安理工大学&#xff0c;西安交…

GB28181学习(十)——视音频文件下载

要求 SIP服务器接收到媒体接收者发送的视音频文件下载请求后向媒体流发送者发送媒体文件下载命令&#xff0c;媒体流发送者采用RTP将视频流传输给媒体流接收者&#xff0c;媒体流接收者直接将视频流保存为媒体文件&#xff1b;媒体流接收者或SIP服务器可通过配置查询等方式获取…

gRPC之gRPC转换HTTP

1、gRPC转换HTTP 我们通常把RPC用作内部通信&#xff0c;而使用Restful Api进行外部通信。为了避免写两套应用&#xff0c;我们使用grpc- gateway 把gRPC转成HTTP。服务接收到HTTP请求后&#xff0c;grpc-gateway把它转成gRPC进行处理&#xff0c;然后以JSON 形式返回数据。…

消息队列 RocketMQ 消息重复消费问题(原因及解决)

目录 1.出现重复消费的原因 2.解决 2.1 数据库插入法 2.2 使用布隆过滤器 2.2.1 添加hutool的依赖 2.2.2 测试生产者 2.2.2 测试消费者 1.出现重复消费的原因 BROADCASTING(广播) 模式下&#xff0c;所有注册的消费者都会消费&#xff0c;而这些消费者通常是集群部署的…

ubuntu20.04下安装nc

前言 nc在网络渗透测试中非常好用&#xff0c;这里的主要记一下Ubuntu20.04中nc的安装 编译安装 第一种方式是自己编译安装&#xff0c;先下载安装包 nc.zip wget http://sourceforge.net/projects/netcat/files/netcat/0.7.1/netcat-0.7.1.tar.gz/download -O netcat-0.7.…

国密https访问

前言 现在的SSL的加密算法实际上主要是国际算法&#xff0c;包括JDK&#xff0c;Go等语言也仅支持国际算法加密&#xff08;毕竟是国外开源项目&#xff09;&#xff0c;hash。随着国密算法的普及&#xff0c;比如openssl就支持国密了&#xff0c;还要新版本的Linux内核也开始…

解决因d3dx9_30.dll丢失程序无法运行,电脑缺失d3dx9_30.dll报错解决方案

我们的生活和工作都离不开电脑。然而&#xff0c;电脑作为一种复杂的工具&#xff0c;也会出现各种各样的问题。其中&#xff0c;丢失d3dx9_30.dll文件是一个常见的问题。d3dx9_30.dll是DirectX的动态链接库文件&#xff0c;如果丢失或损坏&#xff0c;可能会导致许多软件和游戏…

通讯录和内存动态管理

目录 (通讯录)动态增长版 实现效果 找单身狗 题目 源码 思路 三个内存函数的模拟实现 模拟实现strncpy 模拟实现strncat 模拟实现atoi (通讯录)动态增长版 该版本通讯录在原版的基础上增加了检查容量函数&#xff0c;实现了通讯录的动态…

Linux中的shell编程

shell编程 重定向 cat >temp 输入内容到temp文件中&#xff0c;如果存在temp则覆盖&#xff0c;没有则新建 cat >>temp 追加内容 cat temp1>>temp2 将temp1中的内容追加到temp 命令执行控制符号 ; 一个命令行执行多条语句 命令替换符 1.双引号&#…

数据结构--线性表回顾

目录 线性表 1.定义 2.线性表的基本操作 3.顺序表的定义 3.1顺序表的实现--静态分配 3.2顺序表的实现--动态分配 4顺序表的插入、删除 4.1插入操作的时间复杂度 4.2顺序表的删除操作-时间复杂度 5 顺序表的查找 5.1按位查找 5.2 动态分配的方式 5.3按位查找的时间…

Spark简介

文章目录 一、简介二、安装1、简介2、本地部署(Local模式)2.1 安装2.2 官方WordCount实例 3、Standlong模式3.1 简介2.2 安装集群2.3 官方测试案例 4、Yarn模式3.1 安装3.2 配置历史服务器3.3 配置查看历史日志 5、Mesos模式6、几种模式对比7、常用端口 三、Yarn模式详解1、简介…

sql语句数据库查询:如果当前元素已经使用过,下拉框不显示该元素该如何查询?

写宿舍管理系统&#xff0c;做到宿管和楼栋关系时&#xff0c;新增一个宿管&#xff0c;一个宿管管理一栋楼&#xff0c;如果当前楼栋已选择&#xff0c;那么就不能再选&#xff0c;如图所示&#xff1a; 最开始使用的是&#xff1a; SELECT DISTINCT b.building_num,b.TYPE,b…

【Python】图像和办公文档的处理

图像和办公文档处理 用程序来处理图像和办公文档经常出现在实际开发中&#xff0c;Python的标准库中虽然没有直接支持这些操作的模块&#xff0c;但我们可以通过Python生态圈中的第三方模块来完成这些操作。 操作图像 计算机图像相关知识 颜色。如果你有使用颜料画画的经历&…

【计算机毕设选题推荐】口腔助手小程序SpringBoot+Vue+小程序

前言&#xff1a;我是IT源码社&#xff0c;从事计算机开发行业数年&#xff0c;专注Java领域&#xff0c;专业提供程序设计开发、源码分享、技术指导讲解、定制和毕业设计服务 项目名 基于SpringBoot的口腔助手小程序 技术栈 SpringBootVue小程序MySQLMaven 文章目录 一、口腔…

nonaDlA 逻辑分析仪 使用记录

注意事项&#xff0c;很灵敏&#xff0c;不要用手碰&#xff0c;产生误触发 安装软件 github地址 官方提供的淘宝地址与使用说明 1.安装 1.安装程序 &#xff1a;下载githubDLA源码&#xff0c;打开 software\PulseView.exe安装 2.安装驱动&#xff1a;安装完第一步后&a…

系统报错“由于找不到vcomp140.dll无法继续执行代码”的解决方案

在我们日常使用电脑的过程中&#xff0c;可能会遇到一些错误提示&#xff0c;其中之一就是“找不到vcomp140.dll”。这个错误可能让许多用户感到困扰&#xff0c;因为它可能影响到我们的电脑使用。那么&#xff0c;vcomp140.dll是什么意思&#xff1f;当我们遇到这个问题时&…

22下半年下午题

声明&#xff1a;哔哩哔哩视频笔记 源地址 第一大题题目 第一大题解答 第一小问 根据0层数据流图来找&#xff0c;看数据流向和相应的处理模块匹配。并且这个第一问&#xff0c;肯定是能在说明中找到对应短语作为答案的。 第二小问 搞清楚具体存储数据的信息名字&#xff…

《低代码指南》——维格云和Airtable的比较

Airtable​ 什么是Airtable​ Airtable 是一个任务管理应用程序,它合并了电子表格、数据存储和模板,以帮助组织构建他们的工作流程。 适用于哪些企业/组织/人群​ 根据 Airtable 网站,该工具被超过 200,000 个组织的团队使用。 维格表与Airtable相比如何​ Airtable作为…