1.fakepica

先用 BlackDex 脱个壳，然后把解密后的 dex 文件 pull 到自己的电脑上后拖进 jadx

** 看到主要是一个登录逻辑，主类里也可以看出来是 aes 解密

提取数据

unsigned char content[] = {-114, 95, -37, 127, -110, 113, 41, 74, 40, 73, 19, 124, -57, -88, 39, -116, -16, -75, -3, -45, -73, -6, -104, -6, -78, 121, 110, 74, -90, -47, -28, -28};
unsigned char content1[] = {-40, 26, 95, -49, -40, -123, 72, -90, -100, -41, 122, -4, 25, -101, -58, 116};

for (int i = 0; i < 16; ++i)
{
    printf("%X", content1[i] & 0xff);
}

找一个 aes 解密网站

得到密码

2. 奇怪的交易

拿到文件后发现是 upx 加壳直接脱壳工具脱壳

接着再使用 pyinstxtractor 解包得到一堆文件，一个是加密密钥，一个是过程

pyc 文件，我们直接反编译

解密脚本

反编译得到 cup 库的内容

经过网络上一番搜索发现这是 xxtea 加密，连基础加密过程都没变

所以写解密脚本

得到这串密文

然后解 rsa, 我不会就直接粘贴别人的脚本

ps: 因为完整代码太多超出发帖上限了，所以代码部分都由图片演示