legu_unpacker_2019

Skrip untuk membongkar aplikasi Android yang dilindungi oleh Tencent Legu. Ini hanya berfungsi dengan Legu versi 4.1.0.15 dan 4.1.0.18 .

Entri blog: https://blog.quarkslab.com/a-glimpse-into-tencents-legu-packer.html

File DEX asli terletak di assets/0OO00l111l1l dengan tata letak berikut:

Detail struktur ini dapat ditemukan di file Kaitai: legu_packed_file.ks

Hashmap yang tertanam di bagian kedua dijelaskan dalam file legu_hashmap.ks:

pylegu berisi pengikatan Python untuk mendekripsi dan membuka kompresi data yang tertanam di assets/0OO00l111l1l .

Untuk mengkompilasi dan menginstal pylegu :

$ cd pylegu
$ python3.7 ./setup.py build -j4 install --user
$ python -c " import pylegu "

Seseorang juga dapat menggunakan jap/pyucl untuk mendekompresi data dan aguinet/dragonffi untuk mengikat implementasi khusus XTEA.

Contoh com.intotherain.voicechange.apk adalah aplikasi mencurigakan yang dapat dibongkar sebagai berikut:

$ python ./unpack.py ./samples/com.intotherain.voicechange.apk

[+] Legu version: 4.1.0.15
[+] Password is ' IPk2Hw7AKTuIQBlc '
[+] Number of dex files: 1
[+] Unpacking # 1 DEX files ...
[+] dex 0 compressed size:   0x1619a3
[+] dex 0 uncompressed size: 0x5671f8

[+] Unpacking # 1 hashmap ...
[+] hashmap 0 compressed size:   0x4399c
[+] hashmap 0 uncompressed size: 0x95558

[+] Unpacking # 1 packed methods ...
[+] packed methods 0 compressed_size:   0xf4636
[+] packed methods 0 uncompressed_size: 0x1e3072

[+] Stage 2: Patching DEX files
[+] Unpacked APK: unpacked.apk

File DEX yang belum dibongkar terletak di file unpacked.apk .

• Piton >= 3.7
• Struktur Kaitai
• LEBIH SUKA
• pylegu