某租房app nsign 算法

学习unidbg也有个把月了，还一直停留在补环境中，而且有的环境也不会补，不过通过这段时间的学习，也算是有点收获。

因为把unidbg项目pull下来，里面就有使用示例，看到了正好有个app的sign算法，而且也没有补环境，我就想着，看能不能把他的算法搞出来。

先整体运行一下unidbg

并没有发现什么有用的东西，不过从样子来看，这个sign很想一个hash算法，但是这个长度属实给我整不会了。

没办法了，只能请出那个女人了

因为这个算法不是动态注册的，所以可以直接在导出表中找到，这里不仅找到了这个函数，还找到了一个signmd5，他很可疑，继续向下看。

我们先进入函数，无脑F5进入伪c代码

 这里的函数名就很可疑，直接进去，看到这个函数 和导出表的很像，进去

最终就来到了这里

虽然不知道是不是正常的md5算法，那就直接 用unidbg hook，先来hook一下传入参数

 因为是在这个地方调用的，所以我们hook 1b1e 这个地址，至于是第几个参数，挨个试一下，我也不是太能看懂这个 汇编指令，不过现在已经看到了 加密的参数，接下来就hook 结果

 这一次断点我们打到这个方法的最后，拿到地址

结果出来了，现在要做的是 把 加密参数放在 md5加密试一下，看是不是正常的md5

这里用的是Boris佬的爬虫工具库，feapder开源框架的作者，很好用。

结果一样，很好，完成了第一步。

 现在看到这，就差后面的几位了 ，剩下的分析，我也是纯属瞎猜，侥幸搞出来的，废话不多说，我们先尝试更换参数，看后面几位会不会有变化。

首当其冲的就是最后的一个参数，他传入的数值，我们更换成其他的再看，这是我分别 传入 0，2，10，11 四个参数的结果，发现改变成这样 10的16进制不就是a吗，继续把数字搞大一点会发现他只取后4位，所以第三列的4位数字 就是最后一个参数的hex 取后4位。

 接着看倒数第二个参数，也就是那一段字符串，更换参数就会发现是 这个参数的前8位

最后修改map的参数，多修改几次，就会发现 前四位是 map的 key+value的长度 进行 hex，第二个4位是 map的key的个数 进行 hex，到这一步，整个算法也就是

但是但我把代码写完后，运行结果确和unidbg的结果不一样，那这样就只能继续分析了，经过前面的hook我们已经得知这就是一个md5算法，结果也是一样的，那么就是在结果后进行了什么操作，

这一步后面进行了操作，我们要使用unidbg的另一个功能了，console debugger，就这样往下跟，找到了一步

到这里 r8 寄存器里就是md5的返回值了 

 而这段指令的意思，就是把R0寄存器的值放入R8的第R1个位置，也就是把61修改为62，继续n下去，看是不是修改了。

发现确实修改了，那么现在问题的关键就是 R0 和 R1 寄存器是什么时候被赋的值。

接下来的操作就是漫长的 修改 变量 + debugger + 猜测 ，最终发现 R0是md5结果的第一位的 hex，而R1则是这个hex的第二位，意思就是 R0 = 62 ，R1 = 2。R0 = 63，R1 = 3。至于我是怎么发现的，也是靠猜，我也不知道该怎么说，最终把这个算法用python复现了。

 这也是最近学习android逆向的一个进步，当然要走的路还很长。。。

最后，大家如果想学unidbg教程的话，可以加入龙哥的知识星球，里面有很不错的案例，比自己去摸索要简单多了。

知识星球：https://t.zsxq.com/zJAaqNV