仅供学习研究 。请勿用于非法用途，本人将不承担任何法律责任。

前言

xhs 的 shield 参数加密逻辑分析的文章已经有很多了，但是少有人哪位大佬把源码放出来，刚好前两天发现个博主使用 unidbg 跑 shield 本次就来简单说一下踩的一些坑

原文

大佬原文，点击查看
这位大佬写了个 unidbg 系列教程文章，我也是跟着一起学习的，不知道如何搭建环境的跟着大佬学就对了

环境

ida, jeb, jadx-gui, unidbg, apk 版本 6.87.0

调试脚本

先在本地创建个 xhs.java 把大佬的代码直接复制过来

这里需要改写 so apk 文件的路径，改好后直接跑起来

这里发现报错了，俺不知道为啥报错，就猜测可能是版本的问题

阅读代码看到，这里是使用偏移地址调用 so 函数的，apk 版本不同的 so 文件偏移地址也不同

通过 java 代码，跟上图的 jeb 都可以看到，函数的调用顺序是 initializeNative > initialize > intercept 下面反编译 so 文件查看偏移地址

反编译之后在 exports 窗口里没看到相关函数，只有 JNI_OnLoad 函数，可以确定是动态注册函数，点进去看看逻辑

点进之后只有一个 sub_1027C 函数，再点进去就可以看到上图的函数逻辑，里面有很多函数需要一个一个去看，我分析到注册逻辑是在 sub_9342C 函数里

进来之后看到先是查找反射获取 java 类 在 RegisterNatives，按 tab 键查看汇编代码

注册的函数定义在 off_B4004 偏移地址

点过去就可以看到了，然后复制每个函数的 偏移地址，我这个版本的分别是
initializeNative = 0x94289, initialize = 0x937b1, intercept = 0x939d9
修改好之后在跑起来

又报错了，没看出来是啥问题，网上翻一番

发现是有个环境没补，那我们加上

@Override
public boolean getStaticBooleanField(BaseVM vm, DvmClass dvmClass, String signature) {
    switch (signature) {
        case "com/xingin/shield/http/ContextHolder->sExperiment:Z":
            return true;
        }
    return super.getStaticBooleanField(vm, dvmClass, signature);
}

在最下面加上这段代码

在跑起来，发现运行成功，shield 已经成功获取到了，只是用 unidbg 跑起来还不行，要在生产环境用起来，下面说下如何使用 unidbg-server 搭建服务，通过 http 请求获取加密参数

unidbg-server

unidbg-server 的代码，在之前的一篇文章中有说的
某kucun sig 参数加密分析 unidbg 模拟黑盒调用
拉到最下面有 github 地址的，大家如果不想自己搭建，参照这个模版也是可以的，代码写的比较丑。
经过在本地的测试，有些参数是可以写死的
deviceId, mainHmac 每台设备是固定的
url, commonParams 是动态的，其余的参数可填空
那我们在写接口的时候定义这两个参数即可

这里先定义 postBody 对象

这里定义个接口

下面是 python 测试结果，可以正常拿到数据

---

想学习 unidbg 的伙伴，可点击加入星球，星主是一位全能的傻宝，每天都会分享各种姿势骚操作