Анализ версии Charles v4.1.3

—by B.S.

27.06.2017 14:07:52

Сравнение с предыдущей версией v.4.0.2 показало, что явные имена были запутаны.

После декомпиляции в исходный код был проведён анализ ключевых моментов процесса:

1. В файле com\xk72\charles\gui\frames\RegisterFrame.java найден this.bRegister.addActionListener, импортирующий класс import com.xk72.charles.gui.frames.NvMh.

2. В классе com.xk72.charles.gui.frames.NvMh найдена функция if (object2 != null), которая делает его всегда равным нулю, импортирующая класс import com.xk72.charles.psPJ.
3. Класс com.xk72.charles.psPJ является ключевым. Анализ ключевого момента HOOK.
4. С помощью команды javap -public psPj.class можно просмотреть публичные функции внешнего класса:

public final class com.xk72.charles.psPJ {
  public com.xk72.charles.psPJ();
  public static boolean qIvM();
  public static void mLFE();
  public static java.lang.String tCiz();
  public static java.lang.String qIvM(java.lang.String, java.lang.String);
}

Достаточно перехватить два метода public static boolean x1() и public static java.lang.String x3(), конечно, лучше перехватить все методы с модификатором public;

Для этого достаточно установить одну строку при использовании javassist, и класс будет выгружен после взлома.

CtClass.debugDump = "./charles-bs-cr";