嗖手sin3算法追踪

mind

第一步：关键词定位"__NS_sig3",咱们就追赋值这个


从__NS_sig3到r1再到r5.m176847b(r6, r7)，


下面就看看这个方法r5.m176847b(r6, r7)做了啥

发现没干啥，继续追到m176849a(method, encodedPath, map)方法


继续追，发现有13个结果，如何筛选呢？

发现getWrapper()返回的是这个IKSecurityBase 类型，过滤一下看看，发现不好简单的过滤

有两个实现类，分别分析一下




一个返回为空串，一个返回为非空，只能选非空了，可以再用hook验证一把，为了放心。





静态的化，到这里就追丢啦，下面根据前人的挖煤来看，直接用关键词定位"0335"的位置看看。






















至此，重新找到了迷失的路，下面找so的名称和加载位置
return JNICLibrary.doCommandNative(i, objArr); 我们发现，最终是传给了navite进行了计算。


那么我们继续hook下他都传了什么信息，这里我选择的hook点是

复制

因为最后面这2个传的东西太多，而且很多都是固定值，懒得码这么多代码。

编写好的frida代码，先将手机的frida运行起来，具体frida的搭建文章我们可以阅读：
https://zhuanlan.kanxue.com/article-350.htm
https://www.jianshu.com/p/dadacd02fefd


我们看道传的参数是域名的路径和sig（我们第一次看到他是str+str2的合并，原来str是域名路径）

这里我们回到a方法，查看他最终传给navite的参数:
参数一：10405
参数二： new String[]{trim}
参数三: KSecurity.getkSecurityParameterContext().getAppkey()
参数四： -1
参数五：false
参数六： KSecurity.getkSecurityParameterContext().getContext()
参数七：null
参数八： Boolean.valueOf(iVar.b())

参数二就是hook打印的内容。
参数三是一个固定的appkey，通过查看appkey的调用例找到了

这里因为文章长度问题，就不具体展示细节。
参数八：就是一开始传的false 逻辑变量，这里我们可以回到一开始传的时候查看他的赋值就知道了，这里的b()只是获取当时赋值的结果


参数全部找到了，由于so层看到了大量ollvm，我就没有进一步还原，只能通过hook方式主动调用了。

四、so文件定位

因为看到这个so的加载挺难找的，这里也记录下我的查找过程。

我们进入JNICLibrary.doCommandNative(i, objArr);的定义发现并没有找到加载so文件。

这里我选择了右键查看b的调用例，发现有一处new的地方

我们跟进去看看。

通过种种代码的文字提示，发现他是在这里调用  boolean a = f.a(context); 进行加载，貌似这个是在提示加载消耗的时间。继续跟进f.a()查看

发现看道了一个名字叫： kwsgmain，加上底部提示的 retry load so ok，怀疑这个就是so文件名字，查看lib发现确实存在该文件。

通过后续的继续跟进这个字符串的调用，最终发现确实是这个文件

但是拖进ida看到onload那一刻起，我目前先放弃了。。先继续啃课本。