滑滑滑稽稽稽

滑滑滑稽稽稽

这里是·弔人の博客~ 俺の愛馬が!
bilibili
telegram
github
ホーム归档友联·朋友们的网站

《冬日狂想曲 滑稽酱破解版》が悪意のあるパッケージ化された問題について

#杂谈#4174
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
这篇文章讲述了作者制作的游戏被人盗版并加入了密码限制,作者尝试破解但没有成功。后来作者发现可能是密码界面嵌入了一个网站,通过抓包找到了密码。作者表示游戏是免费发布的,不支持倒卖,并呼吁大家一起抵制倒卖行为。

起因#

この問題は簡単に言い尽くせるものではないので、私はタイトルを特に長く書いています。要約する方法がわからなかったからです。
この問題を簡単に再説明します:私はゲームの改造チートバージョンを作成し、無料でインターネット上に公開しましたが、誰かが私のゲームのインストールパッケージを盗んで、彼のパスワードを入力しないとこのゲームをプレイできない制限を追加しました。そして、彼のパスワードは広告の QR コードを 3 つ以上の 500 人以上のグループチャットに転送するなどのタスクを完了する必要があります(かなり典型的なものです)。私は当時、このようなものを見てかなり腹が立ちました。私が夜通し解析したものを彼が簡単に自分のものにしただけですか?
彼のインストールパッケージをダウンロードして調査しました:

微信图片_20231005170220

うわー、ゲームを開くとこの画面が表示されます。正しいものをダウンロードしたようです。

微信图片_20231005170740
ゲームのバージョン番号には、私が入れたウォーターマークさえ削除されていません。彼は一体何を考えているのでしょうか?

研究を始めて、パッケージを解析する#

まず、元のインストールパッケージと彼によって変更されたインストールパッケージを比較してみましょう:

追加されたファイル:
==============================
classes2.dex

変更されたファイル:
==============================
AndroidManifest.xml
META-INF/ANDROID.RSA
META-INF/ANDROID.SF
META-INF/MANIFEST.MF

私は最初、この classes の中に秘密があると思って、急いで「パスワード」というキーワードを検索しましたが、何も見つかりませんでした。
彼が変更したすべてのファイルを見ても、私はまだ手がかりがありませんでした。真実の答えを見つける前に、夜の自習が始まってしまいました。
自習中にぼんやり考えていたとき、私は突然思いつきました:ゲームを開くたびに、内部の画像が再度読み込まれる必要がありますが、画像がローカルにある場合は再読み込みする必要はありません。画像はおそらく画像ホスティングサービスを使用しているのかもしれません。
画像がウェブサイトで表示されるようになったのなら、このパスワード入力画面も彼がウェブサイトを apk に埋め込んだ方法を使っているのかもしれません。つまり、私はインストールパッケージの中にこのものを見つけることはできないのです、なぜならそれはインストールパッケージ内に存在しないからです!

これで事件が解決しました。次はこのウェブサイトを見つけることです。私は最初、Android アプリのバグを使おうと思いました(言い訳:私はまだ初心者で、これがアプリのバグなのかどうかよくわかりません。正確に言えば、これはおそらく HTML のバグです。もし大先輩がここまで見ていて、私にコメントで指摘してくれると助かります):実行中にネットワーク接続が突然切断されると、xxx(ウェブページの具体的な URL)に接続できなくなります。これにより、彼の URL を取得することができ、それによってこのパスワードを見つけることができます。
しかし、このアプリにネットワーク接続が切断された状態で入ると、「データの取得に失敗しました」と表示されます。彼はこの方法だけでは取得できないようです。

パケットキャプチャを試して、パスワードを発見#

みなさんは「黄鳥抓包」というものを聞いたことがありますか?数年前にかなり人気がありましたが、実際に使ってみると便利です(私はこれまで使ったことがありませんでしたが)。以下に示すように、「黄鳥」を使って 2 つのウェブサイトをキャプチャしました:

http://imgurl.xiaok1.com/imgs/2022/04/13/b36c1b16e3de9b6d.jpg
↑前述のように、画像を表示するためのウェブサイト

http://acgzlm.xyz/acg/config.json
↑パスワードの本体部分

その中で、次のようなコードの一部を見つけました

image

この6952が最終的なパスワードだったのですね、こんなに簡単だとは思いませんでした

その後の雑談 | 区切り線~

このゲームのパスワードの入手がこんなに簡単だとは思いませんでした... 過大評価しました

この記事は 9 月 27 日に書く予定でしたが、その時に私のコンピュータが壊れてしまいました

彼が私のゲームを変更したのは 9 月 25 日で、私は彼が変更した翌日にパスワードを見つけ出しました。彼の顔を叩いたと言えるでしょう

私のゲームはすべて無料で公開されています。現在のゲームのコレクションはhttps://huaji.xlog.app/youxi にあります。私は転売に参加することはありませんし、できません。もしあなたのゲームが購入したものであれば、その販売者を通報してください

転売を拒否し、みんなが責任を持つべきです。転売屋は必ず滅びます

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。