《送给最好的ta》软件介绍

如蝗虫般瞬间侵蚀各大高校的流氓APP“送给最好的ta”。并且还成功成为一些同学恶搞之物，有很多好奇心重的小伙伴们看过927高校事件后，纷纷表示好奇这个软件到底是什么样的？为什么会这么神奇？下面小编就为大家带来“送给最好的ta”软件介绍。别好奇了，快来看看吧。

“送给最好的ta”是什么

这是一款在9月27日瞬间传遍各大高校的软件。这款软件非常的神奇，也非常的恶搞，能够让手机发出那种让人脸红、羞羞的声音，很多学生上课开会的时候出现了这种声音，并为保全名誉而破坏手机才停止，这也是9.27事件的简单概述了。

这款软件最可怕的点是在中招后，不仅无法减小音量，不能锁屏，也没法关机，唯一能让它停下的方法只有破坏手机。

apk分析

这款软件刚侵蚀各大校园后，网上大佬立马给出了这款app的运行原理，并且有人传了个apk文件，名字叫送给最好的TA。这是一个整人app，安装并打开会播放一段音频，并循环调节媒体音量，维持最大值。从后台划掉/卸载/关机都可以解决。

在拿到样本后，先别急着安装，先看看软件目录

打开assets文件夹，看到有一个mp3文件以及两个加密后的lua脚本：

运行app后会自动播放这个音频文件，所以我们先对它进行替换。这里使用AU对该mp3进行了静音处理。（可以替换成自己想要播放的音频，重打包签名即可）

然后找到加载lua的关键函数。因为lua脚本需要加载，而在加载之前肯定是要先解密的，所以只要找到解密函数，然后就可以把解密后的lua脚本dump出来。

使用IDA打开libluajava.so，经过分析找到函数luaL_loadbufferx

luaL_loadbufferx的第二个参数是加密的字节数组，第三个参数是大小，第四个参数是lua文件位置。

这个函数就是加载加密lua脚本的地方，其中对脚本进行了解密操作。

根据第四个参数我们可以区分目前加载的lua脚本名称，从而选择性地dump（即在函数开头下断点，查看第四个参数内容）

luaL_loadbufferx函数伪代码如下：

首先对输入的字节数组进行判断，如果以1B开头，且第二位不是0C，则进行解密操作，否则直接调用j_lua_load加载lua脚本

在第41行下断点即可获取到解密后的字节数组，从而dump

动态调试进行dump

IDA在第41行断下之后，运行python脚本dump即可

import idaapidata = idaapi.dbg_read_memory(0xf4daff00, 0x3000)fp = open('d:dump.lua', 'wb')fp.write(data)fp.close()

此处的0xf4daff00, 0x3000需要替换成起始地址和长度

长度写大一点也没事，可以再用010Editor删除（所以我这写的0x3000）

分析lua：:由于解密出来的lua也不是源码形式，而是字节码，所以脚本逻辑看起来没那么轻松，但也不是不能理解。

主要功能在main.lua中完成：

>>>送给最好的ta.apk下载<<<

其实就是播放音频和循环调节媒体音量，并拦截了返回键。主要功能其实跟以前那个叫目力的app差不多。(不过今天这个apk的音频就太那啥了...)

以上就是小编整理的关于《送给最好的ta》软件介绍的相关内容，想了解更多关于《送给最好的ta》的相关资讯与攻略请关注游戏窝手游网。