前言
前段时间的O泡果奶病毒火了一把,虽然平时很少看android,却也来了兴趣,大致看了一下,也搜了搜,知道了关键点在lua上,可惜之前没接触过lua,当时并没有把脚本解出来。今天看到了一个lua解密的帖子,就试了下,没想到真的成功了,在此作一下记录吧
分析
android目录结构
关键的lua逻辑目录
关键文件是main.lua
使用编辑器看也不是luac文件
当我看到这个帖子时,翻看了下android的目录,果然看到了libluajava.so文件
又了解到libluajava.so文件会使用luaL_loadbuffer或者luaL_loadbufferx函数对Lua脚本进行加载,通常解密也在这个位置
使用ida打开,找到函数位置
在github上找到函数的原型,了解到每个参数传递的是什么
LUALIB_API int luaL_loadbufferx (lua_State *L, const char *buff, size_t size, const char *name, const char *mode) { LoadS ls; ls.s = buff; ls.size = size; return lua_load(L, getS, &ls, name, mode); } 将ida中的伪代码稍微改一下,形成以下代码
unsigned char* decrypt(const unsigned char* buffer, size_t size) { unsigned char* debuffer = (unsigned char*)malloc(size); debuffer[0] = 27; int t = 0; for (int i = 1; i < size; i++) { t += size; debuffer[i] = buffer[i] ^ (t + ((unsigned int)(((unsigned __int64)(-2139062143LL * t) >> 32) + t) >> 7) + ((signed int)(((unsigned __int64)(-2139062143LL * t) >> 32) + t) < 0)); } return debuffer; } 将main.lua读取后调用此函数返回debuffer数据,解出luac文件
使用命令反编译出lua脚本
java -jar unluac_2015_06_13.jar main.luac > out.lua 
