微信号:HackerCoder

介绍:分享最前沿的黑客知识,了解黑客世界,学习黑客技术

我找到一个把支付宝余额改为100W的方法......

2019-01-29 08:30 starry
来自:极验(微信号:geetest_jy)

那是一个夜黑风高的晚上,看着外面皎洁的月亮,摸摸瘪瘪的口袋,想起一年过去我还是一无所有,悲伤顿时涌上心头。


说时迟那时快,就在此刻!一个“动动手指支付宝余额变100W”的帖子映入我的眼帘。莫非,这是上天给我的旨意?


一个神奇的教程

在逛论坛的时候,刷到这个打着“精华”标签的帖子。不看不知道,一看吓一跳啊!



作者介绍的非常详细,从Xposed安装到配置插件以及代码的展现,在帖子中都有提到。首先我们需要安装Xposed,激活成功之后配置Xposed插件。


再配合上一系列的反编译工具,楼主开始搞事情了。首先通过下面的流程,楼主找到了Hook入口。


图片来自吾爱破解


然后对部分参数进行修改。


图片来自吾爱破解


最后,就完成了修改金额的过程!


图片来自吾爱破解


这么厉害!支付宝这么容易被篡改吗?那每个人改一改都可以“为所欲为”了?


非也。其实楼主整个过程是基于Xposed的模块,就是篡改了客户端的显示,对服务器端的数据没有任何影响。


简单理解,就是楼主只是在自嗨,只能用来装X。唉,本来以为是个王者,没想到是个青铜......


于是,不禁有网友发出来自灵魂深处的嘲笑:


——“请问可以提现吗?”

——“emmmm...不能。但是你不觉得看着这个数字就很感人吗?”


——“emmmm...兄弟,听说过PS没?"



众多网友纷纷跳出来“鼓励”楼主。


——“感谢楼主,让我有机会品尝网警的咖啡,真香!警察局的网速也很快呢!”



——“就喜欢楼主这样为装逼谋福利的人!”



还有一些网友膨胀了,开始提要求了。




这位楼主虽然用Xposed来装X,但是Xposed强大的功能可不仅仅限于此!

Xposed是何方神器?

Xposed框架是一套开放源代码的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下修改程序的运行,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。


xposed 原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed,而这些基于xposed的模块就可以选择性的在App调用这些api的时候干一些”坏坏”的事情,或者修改返回的结果。这样app在运行的时候效果就会改变,但app本身并没有被破坏,只是调用系统api的时候,Android系统的表现发生了变化。这就是钩子,专业术语hook。所以,说白了,xposed就是个强大的钩子框架。


1、微信修改界面


有不少技术爱好者,使用强大的Xposed 可以修改微信等APP界面,按照自己喜好改变UI设计,还能够自由的随自己需求进行功能的增减。


图片来自知乎


2、自动抢红包


每次担心错过红包,拥有这款神器可以让你一夜之间“脱非入欧”,轻轻松松抢到全部群里的红包,简直是逢年过节,走亲访友之必备良器呀!


图片来自梧桐那时雨


3、微信消息防撤回


有的时候看到好友撤回的消息,非常想知道是不是手滑暴露了真实想法,心里越想越痒。


于是,基于Xposed网友制作出许多相关插件,一键就能防止撤回,果然是高。随便找了一个开发的插件,不仅支持消息防撤回、模拟位置、运动步数修改、甚至还可以猜拳骰子游戏作弊、零钱余额修改、微信运动一键点赞。



4、修改微信步数


你问我修改步数干嘛?当然是抢占微信步数排行榜啊!开启修改模式,想要几万步给你几万步,足不出户即可塑造”热爱运动“的青年人设!



氮素!强大的Xposed肯定不仅仅是装逼神器,一旦被黑产利用......

不仅仅能装逼

微信黑灰产


以上大部分是技术爱好者来进行研究分享的,但是也很难确定不被黑产所用。比如,通过Xposed修改微信聊天记录、监听微信登录账号和密码等相关帖子不少。


图片来自吾爱破解


2018年7月微信大面积封号,主要就是针对使用微信外挂、非官方客户端和模拟器的用户。



虽然这次大面积封号难免误杀,但是究其背后,正值世界杯期间,大量黑产借用Xp制作赌球相关的插件。



这也不是个例,平时微信上充斥的微商,群控,自动陌生人打招呼和赌博群等都可能和相关 Xposed 模块有关。


  • 某模块通过 Hook(钩住)微信摇骰子函数实现自定义骰子数,想扔多少点都可以;剪刀石头布更是要啥有啥,这些变身各种赌博群的最爱;

  • 某模块通过 Hook 相关函数后,可以实现消息自动回复和针对关键词回复,在社群上进行色情营销的黑产所用工具很多就是此类;

  • 某模块 Hook 朋友圈和转发相关函数后轻松实现成千上万条信息和朋友圈的转发,在某宝、论坛等兜售的“微商营销神器”很可能也只是一台装了 Xposed 框架和模块的手机,制作成本就是几百元人民币的手机费和免费的Xposed,但是黑产下游售价可能超过万元还供不应求。


黑产刷榜


而在各种刷榜、刷量中,黑产可能用Xposed框架来hook获取Android_id的接口,然后替换设置的虚假数据。还有创建各种高价值账号、打卡等等都不在话下。


黑产刷量的过程中,主要是通过协议破解、伪造用户操作、伪造用户数据来做Android灰色产业。而不少黑产伪造用户数据数量就离不开Xposed。



修改完毕之后,看看这涨幅高达100倍的数据。


嵌恶意代码


由于Xposed拥有的最高权限,如果不法分子在插件中植入了恶意代码,比如登录劫持、偷偷采集账号密码发送到黑产手中,一旦涉及金钱后果便不堪设想了。


  • 2013年10月22日,韩国警方称,在赌博店子游戏中发现恶意代码,可能回收集IP信息;

  • 2017年7月21日,北京警方铲除一网络黑产犯罪团伙 曾恶意劫持百度hao123流量;

  • 2018年3月10日,火绒实验室发现ADSafe软件暗藏恶意代码劫持众多网站流量;

  • ......

自由与安全并济

看到这里,Xposed作为一个强大的开发框架,能够给系统带来更多的可能性,众多技术人员也因此创造出独特的功能。但是正因其强大与开放,一旦被黑产所用,必定带来严重的危害。


因此,在这场战役中,注定需要多方努力。既不能够因噎废食,也不该掉以轻心。


  • 作为平台方,在技术层面提高检测能力。应用商店对上架应用加强检测,防止恶意程序影响用户;

  • 作为技术爱好者,在使用和分享相关技术软件时,做一下风险评估,不要沦为黑产帮凶;

  • 个人也应当提高安全意识,加强警惕,定期杀毒检查,降低风险。


黑产和厂商之间的对抗,注定是一场全面的“持久战”,其中穿插了“业务逻辑”对抗、“技术能力”对抗、“数据”对抗等等,我们唯一能做的就是继续对抗,从多维度做好防御措施,竭尽全力不让帮助“创造”的工具变身黑产“利器”。

参考来源:

1、《用Xposed把支付宝资产改成100w》——吾爱破解

https://www.52pojie.cn/thread-853102-1-1.html

2、《Android 手机装插件有可能微信被封号?一篇文章告诉你这件事的来龙去脉》——Fairyex

https://sspai.com/flipboard/post/45473

3、《揭秘-Android刷量有多容易》——PhoenixZheng

https://juejin.im/entry/5b1f26f66fb9a01e24248b2a

4、《Android 神器 xposed 框架使用指南》——fuchaosz 

https://blog.csdn.net/fuchaosz/article/details/53143216



●编号796,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓
 

Linux学习

更多推荐25个技术类微信公众号

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

 
黑客技术与网络安全 更多文章 我想成为一名白帽子黑客,该如何开始? 轻松理解网络端口是什么 那些出现在电影或电视剧中的精彩代码,你认出来几个? 诈骗圈“经典”剧本盘点,你中过哪些招? 瑞星2018年中国网络安全报告:挖矿与勒索病毒成一体化趋势
猜您喜欢 Android OOM案例分析 你知道国内有多少 SRC 吗? 产品新人写PRD应该避免的坑 优秀API设计总结 【福利】你要的手册都在这里,支持手机浏览