前几天,遇到一台华为机型,IMEI获取有问题,然后就找了一下。
以下是解决过程,权当记录一下,尽管为知笔记已经有备份了 :)
0x01: 起因
测试小哥发现,一台机型IMEI获取不全,有问题,拨号页面获取出来 MEID/IMEI1/IMEI2 而我们只能获取 其中两个,丢了一个
然后抱着手机过来问能不能处理一下,型号为: HUAWEI TAG-AL00
我抱着试试看的态度,跑了一下之前获取方式,果然少了一个,然后就开始找哪里出了问题。
0x02:过程
a. 准备工作,找apk文件和位置
既然自己获取和拨号页面“*#06#” 出来的不一致,直接从拨号页面入手看它是如何获取的。
找拨号页面信息,先找到拨号页面信息。通过 Log查看,TAG: ActivityManager,在过滤下 "START" ,找到拨号页面的Activity。
shell里命令:
logcat -s ActivityManager | grep START
get:
"act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x14200000 cmp=com.android.contacts/.activities.DialtactsActivity"
同时根据包名 ”com.android.contacts“ 找apk位置
shell@HWTAG-L6753:/ $ pm path com.android.contacts
package:/system/priv-app/Contacts/Contacts.apk
然后把apk文件夹pull出来。因为包含oat文件
b.开始找位置:
首先是oat文件转换成dex,不转换也可以,拖到ida里面看smali,不过既然可以看伪代码,还是看伪代码吧...
oat转换dex工具为git某大神写好的python,在此感谢,
不过少数oat文件解析有问题,正在学python,希望以后可以改一下。
不出意外,可以获得完整dex文件。
然后将classes.dex拖到Contacts.apk 中去,方便解包。也可以直接看dex,不用合并。
然后,apk文件拖到jeb,找对应的Activity位置:
com.android.contacts.activities.DialtactsActivity
没看到明显获取IMEI位置,全局找字符串: "*#06#",定位到:
com.android.dialer.SpecialCharSequenceMgr.java
找到位置后,查看显示获取IMEI位置,函数:
static boolean handleDeviceIdDisplay(Context context, String input)
c. 具体实现:
static boolean handleDeviceIdDisplay(Context context, String input) {
boolean v11_boolean;
Object v10_phone_server = context.getSystemService("phone");
if(v10_phone_server == null || !input.equals("*#06#")) {
v11_boolean = false;
}
else {
context.getResources().getString(2131231984);
ArrayList v3 = new ArrayList();
String v9_product = SystemProperties.get("ro.product.name", "");
String v0_CountryIso = ((TelephonyManager)v10_phone_server).getNetworkCountryIso();
String v8_cdma = SystemProperties.get("cdma.meid", null);
String v4_imei1 = SystemProperties.get("gsm.imei1", null);
String v5_imei2 = SystemProperties.get("gsm.imei2", null);
Log.d("xionghaifeng", "meid: " + v8_cdma + " imei1 " + v4_imei1 + " imei2 " + v5_imei2 + " product " + v9_product
+ " PLMN " + v0_CountryIso);
if(!v9_product.equalsIgnoreCase("TAG-TL00") || !v0_CountryIso.equals("cn")) {
if(v8_cdma != null && !TextUtils.isEmpty(((CharSequence)v8_cdma))) {
((List)v3).add("MEID:" + v8_cdma.toUpperCase());
}
if(v4_imei1 != null && !TextUtils.isEmpty(((CharSequence)v4_imei1))) {
((List)v3).add("IMEI1:" + v4_imei1);
}
if(v5_imei2 == null) {
goto label_63;
}
if(TextUtils.isEmpty(((CharSequence)v5_imei2))) {
goto label_63;
}
((List)v3).add("IMEI2:" + v5_imei2);
}
else {
if(v8_cdma != null) {
TextUtils.isEmpty(((CharSequence)v8_cdma));
}
if(v4_imei1 == null) {
goto label_63;
}
if(TextUtils.isEmpty(((CharSequence)v4_imei1))) {
goto label_63;
}
((List)v3).add("IMEI:" + v4_imei1);
}
label_63:
new AlertDialog$Builder(context).setTitle("IMEI_IMEI").setItems(((List)v3).toArray(new String[((
List)v3).size()]), null).setPositiveButton(17039370, null).setCancelable(false).
show();
v11_boolean = true;
}
return v11_boolean;
}还看到了小哥的log信息,仔细看了下log,果然有..... :)
xiong兄弟,不好意思哈
然后根据伪代码开始写获取IMEI部分
发现大部分是使用的: android.os.SystemProperties 获取的,然而“SystemProperties 被Hide了,无法正常使用。
源码里看了下:SystemProperties.get(String key);
恰巧,前几天看:android.os.Build 代码时候,其中:private static String More ...getString(String property) 函数实际调用的就是:SystemProperties.get(String key)
然后,直接反射走起...其实反射:android.os.SystemProperties 或者 反射 :android.os.Build 结果都是一样的,
代码如下,多了一个for循环,可以直接一步找函数的:
/**
* huaweiTAGAL00获取IMEI特殊
* @param context
* @param imeis
*/
private void getMeid_HuaweiTAGAL00(Context context, HashSet<String> imeis) { try {
Class<?> classz = Class.forName("android.os.Build");
Method[] declaredMethods = classz.getDeclaredMethods();
for (int i = 0; i < declaredMethods.length; i++) {
Method method = declaredMethods[i];
if (method.getName().equals("getString")) {
method.setAccessible(true);
String meid = (String) method.invoke(classz, "cdma.meid");
String imei1 = (String) method.invoke(classz, "gsm.imei1");
String imei2 = (String) method.invoke(classz, "gsm.imei2"); Log.d("wyy","meid"+meid);
Log.d("wyy","imei1"+imei1);
Log.d("wyy","imei2"+imei2); }
}
} catch (Exception e) {
e.printStackTrace();
} }
测试OK,获取值和拨号页面一致。
搞定收工。
0x03: 后续
至于为什么在拨号的Activity没有找到明显位置,再次确认了下,拨号页面注册了键盘监听,SpecialCharSequenceMgr为回调位置。
Over
附 oat提取dex工具地址: https://github.com/ManyFace/ExtractDexFromOat
其他功能工具: jeb 看雪找下吧 :)
排版不太好,不熟悉编辑器,见谅