当前位置：首页 > article >正文

Shopee风控算法逆向 - Unidbg补环境实战解析

article 2026/3/31 4:54:53

1. Shopee风控算法逆向分析入门最近在研究Shopee的风控机制时我发现他们的Native层加密算法特别有意思。作为一个常年和移动安全打交道的开发者今天想和大家分享下使用Unidbg模拟执行Shopee风控算法的完整过程。Shopee作为东南亚头部电商平台其风控系统主要依赖名为libshpssdk.so的Native库。这个库负责生成关键请求参数比如常见的x-sap-ri签名。要逆向这个算法传统动态调试方法会遇到各种反调试检测而Unidbg这个神器就能完美避开这些麻烦。先说说我踩过的坑最开始直接用Frida去Hook发现根本拿不到完整调用链。后来转用Unidbg又遇到各种环境缺失报错。经过两周的折腾终于摸清了整套流程。下面我会从定位算法、补环境到完整调用一步步带大家走通这个逆向过程。2. 定位关键加密函数2.1 从HTTP请求入手首先用抓包工具观察Shopee的API请求会发现每个请求都带有x-sap-ri等加密参数。这些参数明显是客户端生成的我们需要找到生成逻辑的具体位置。我用的方法是Hook HashMap.put方法因为Java层最终都会通过Map来组装请求头。写个Frida脚本Java.perform(function(){ var HashMap Java.use(java.util.HashMap); HashMap.put.implementation function(key, value){ if(key x-sap-ri){ console.log(Java.use(android.util.Log).getStackTraceString( Java.use(java.lang.Throwable).$new())); console.log(x-sap-ri value:, value); } return this.put(key, value); } });运行后会打印出完整的调用栈关键信息如下at com.shopee.shpssdk.SHPSSDK.uvwvvwvvw(Native Method) at com.shopee.shpssdk.SHPSSDK.requestDefense(SHPSSDK.java:95)2.2 分析Native调用链通过JADX反编译APK定位到com.shopee.shpssdk.wvvvuwwu这个类其中有个native方法public static native String vuwuuwvw(byte[] bArr, byte[] bArr2);这就是我们要找的加密入口接下来需要确认对应的so库。通过Hook System.loadLibrary发现加载的是libshpssdk.so。3. Unidbg环境搭建3.1 基础框架搭建先创建一个基础的Unidbg模拟环境public class ShopeeEmulator extends AbstractJni { private final AndroidEmulator emulator; private final VM vm; private final Module module; private final DvmClass cWvvvuwwu; public ShopeeEmulator() { emulator AndroidEmulatorBuilder.for64Bit() .addBackendFactory(new DynarmicFactory(true)) .build(); Memory memory emulator.getMemory(); memory.setLibraryResolver(new AndroidResolver(23)); vm emulator.createDalvikVM(new File(shopee.apk)); vm.setJni(this); vm.setVerbose(true); DalvikModule dm vm.loadLibrary(new File(libshpssdk.so), true); dm.callJNI_OnLoad(emulator); module dm.getModule(); cWvvvuwwu vm.resolveClass(com/shopee/shpssdk/wvvvuwwu); } }3.2 首次运行报错分析直接调用加密函数会抛出异常public void callNative() { byte[] arg1 https://mall.shopee.com.my/api/v4/search/....getBytes(); byte[] arg2 null; StringObject result (StringObject)cWvvvuwwu.callStaticJniMethodObject( emulator, vuwuuwvw([B[B)Ljava/lang/String;, arg1, arg2); System.out.println(result.getValue()); }错误日志显示[WARN] handleInterrupt intno2, NR-127248, svcNumber0x10a这是个JNI调用异常说明缺少必要的环境参数。需要通过补环境来解决。4. 系统性补环境实战4.1 补JNI基础环境首先补上最基础的Android环境Override public DvmObject? callObjectMethodV(BaseVM vm, DvmObject? obj, String signature, VaList vaList) { switch(signature) { case android/app/ActivityThread-getApplication()Landroid/app/Application;: return vm.resolveClass(android/app/Application).newObject(null); case android/content/Context-getPackageName()Ljava/lang/String;: return new StringObject(vm, com.shopee.my); case android/content/pm/PackageManager-getInstallerPackageName(Ljava/lang/String;)Ljava/lang/String;: return new StringObject(vm, com.android.vending); } return super.callObjectMethodV(vm, obj, signature, vaList); }4.2 处理SharedPreferences算法会读取SP中的配置信息case android/content/SharedPreferences-getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;: String key vaList.getObjectArg(0).getValue().toString(); if(key.equals(E1YASQpPEEUQWR1CCUwVVVVw)) { return new StringObject(vm, f0VMRgEAAAAIAAAA4BwNgAAAAACAAAAJAAAAAVUUwFVA1JSSlNfXgZKU1BUA0oGVQVXSlYFVVNRBFFQUldQAwMAAAAIAAAAAFRQAQAAAAA); } return vaList.getObjectArg(1);4.3 补全应用信息还需要补全PackageInfo等应用基础信息Override public DvmObject? getObjectField(BaseVM vm, DvmObject? obj, String signature) { switch(signature) { case android/content/pm/PackageInfo-applicationInfo:Landroid/content/pm/ApplicationInfo;: return new ApplicationInfo(vm); case android/content/pm/ApplicationInfo-sourceDir:Ljava/lang/String;: return new StringObject(vm, /data/app/com.shopee.my/base.apk); } return super.getObjectField(vm, obj, signature); }5. 完整调用与结果验证5.1 最终调用代码补全环境后加密调用代码如下public void callNative() { byte[] arg1 https://mall.shopee.com.my/api/v4/search/....getBytes(); byte[] arg2 null; StringObject result (StringObject)cWvvvuwwu.callStaticJniMethodObject( emulator, vuwuuwvw([B[B)Ljava/lang/String;, arg1, arg2); System.out.println(加密结果 result.getValue()); }5.2 结果验证成功获取到如下格式的加密结果{ 253b8c85: hlGD6Ox0ErCcsv0i1q6GFgqetT, x-sap-ri: f4e55b675d1842b8a2f1d01301146b15925ce8c171ea82224c30 }多次调用会发现x-sap-ri每次都会变化说明算法内部有时间戳或随机数参与运算。6. 关键问题解决技巧6.1 常见报错处理JNI调用异常通常是缺少对应的Java环境需要通过AbstractJni补全内存访问错误检查so是否完整加载必要时补全依赖库参数格式错误确保传入的byte[]格式与Java层一致6.2 性能优化建议使用Dynarmic后端加速执行缓存已补的环境对象对固定返回值做内存缓存整个逆向过程中最耗时的部分是补全各种环境参数。建议先通过Frida动态分析获取真实参数再在Unidbg中模拟。遇到问题多看看Unidbg的日志输出里面通常会有明确提示。

Shopee风控算法逆向 - Unidbg补环境实战解析

相关文章：

Shopee风控算法逆向 - Unidbg补环境实战解析

OpenClaw定时任务实践：Qwen3.5-4B-Claude实现凌晨数据备份自动化

通义千问3-Reranker-0.6B入门指南：app.py核心逻辑解析+自定义路由扩展

揭秘Synopsys EDA中的AI黑科技：DSO.ai如何改变传统芯片设计流程

手把手教你用Vivado 2021配置Zynq UltraScale+ GTH回环测试（附工程源码）

百川2-13B-Chat惊艳效果展示：同一提示词下Temperature=0.3与0.9输出对比

SpaceClaim流体域实战：从零到一构建仿真计算空间

如何通过Qwen Code多语言功能提升开发效率

Phi-3-mini-128k-instruct开源镜像：个人学习研究专用+严禁非法用途声明

DLSS Swapper完整指南：高效管理游戏DLSS、FSR与XeSS版本

Vue3实战：5分钟搞定全局WebSocket封装（含心跳检测与断线重连）

无GPU也能用：OpenClaw+Qwen3.5-4B-Claude-GGUF低配设备实测

Carla仿真实战：3种高效定位车辆生成点的方法（附代码示例）

别再当黑匣子用了！手把手教你用FastMCP的tool()、resource()和prompt()装饰器，从源码理解到实战避坑

RexUniNLU新手入门指南：3步搞定智能家居、金融、医疗场景意图识别

突破性Unity游戏插件框架实战指南：BepInEx从零到精通的完全手册

iStore增强插件：从网络优化到智能家居，一站式解决家庭与极客的哪些核心痛点？

Go语言中的并发模式：从WaitGroup到errgroup

RPCS3游戏汉化实战指南：从零构建多语言游戏体验

FlowState Lab创意作品展：从音乐旋律到光影变化的波动艺术

nli-distilroberta-base在数据库智能查询中的应用：自然语言转SQL实战

Linux服务器无GPU也能跑！Ollama部署DeepSeek-R1模型存储路径自定义与性能调优指南

别再只盯着ONNX了！用PNNX把PyTorch模型轻松转成ncnn格式（安卓部署实战）

nRF52832上电启动全解析：从MBR到Bootloader的跳转机制与寄存器配置

Sparse Sinkhorn Attention：点云处理中的高效全局注意力机制

OpenPose终极指南：10分钟掌握人体姿态估计核心技术

告别官方驱动：深入解读ES7210寄存器，打造你自己的ESP32音频采集库

探索式学习：UMA模型在水分解催化中的应用指南

OpenClaw+nanobot自动化测试：24小时监控网站可用性

从零开始：3小时掌握Arduino ESP32开发板完整安装与配置指南 [特殊字符]