1.关于混淆

• 在安卓开发中，对于第三方的包是可以进行混淆的，例如：OKHttp3.Http.Cert.check 被混淆后可以是a.f.c.b 形式。
• 在安卓开发中，系统包是无法混淆的，例如：java.security.KeyStore不会被混淆。

由于这种的情况的存在，再次审示我们之前的通用脚本，就会发现他是不通用的，例如：

• 客户端证书校验的frida脚本【不通用，被混淆后无法用】

  Java.use('okhttp3.CertificatePinner');  
  Java.use('com.squareup.okhttp.internal.tls.OkHostnameVerifier');
  

• 服务端证书校验的frida脚本【通用】

  Java.use("java.security.KeyStore");
  

那如果遇到有存在混淆的app，内部又加入了客户端证书校验，原来的绕过方式就都不能用来，怎么解决呢？

• Hook系统底层必走的核心方法，获取调用栈
• 根据调用栈向上寻找 客户端证书校验 代码位置，找其他被混淆后的 类名和方法名
• 用frida Hook脚本的方式绕过

如下图：未混淆时，客户端证书校验的三个位置：

如下图：app混淆后，代码会变成这样：

2.客户端校验和系统方法

客户端校验的顺序分别是：

• 第1步：调用证书校验
  

• 第2步：主机校验
  

• 第3步：pinner公钥校验，这个校验过程本质上是调用CertificatePinner类中的check方法。
  

**注意：**内部按照顺序对这3个过程进行校验，只要有一个无法通过，后续的校验就不会再触发执行。

上述三个校验的触发位置是在：okhttp3.internal.connection.RealConnection类中的connectTls方法，例如：

2.1 调用栈

我是怎么确定触发校验的位置就是这里的？

最简单的方式就是对我们已开发完成的安卓程序（NetDemo）案例进行Hook，根据他们的调用栈来证明，例如：

Log.e("调用栈", Log.getStackTraceString(new Throwable()));

2.2 Hook系统位置

在上述调用栈中发现在证书校验时，底层会走 com.android.org.conscrypt.NativeSsl的doHandshake方法。

所以，可以Hook他，根据调用栈向上找到证书校验的位置（其他验证也在旁边）。

Java.perform(function () {var NativeSsl = Java.use('com.android.org.conscrypt.NativeSsl');NativeSsl.doHandshake.overload('java.io.FileDescriptor', 'int').implementation = function (a, b) {console.log("参数：", a, b);console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));return this.doHandshake(a, b);};
});// frida -UF -l 1.hook_check.js

对比未混淆和混淆的代码，可以找到相应的证书监测的位置：

3.滴答清单（案例）

以滴答清单（v6.3.3.0）为例，来展开代码混淆处理的过程。

3.1 现象

打开app，进入注册界面，点击【发送验证码】

• 未设置代理，可以发送成功
• 已设置代理，请求发送失败

那么，内部应该可能是做了客户端校验。

但是，使用justrustme 和 frida 脚本依然不好使，哪就有可能是内部进行了代码混淆。

3.2 寻找connectTls

因为触发客户端校验的位置是在：okhttp3.internal.connection.RealConnection类中的connectTls方法中，所以，我们可以先寻找到这个位置，看他被混淆成了啥？

可以通过hook系统方法 + 输入调用栈，定位 RealConnection类的connectTls方法。

Java.perform(function () {var NativeSsl = Java.use('com.android.org.conscrypt.NativeSsl');NativeSsl.doHandshake.overload('java.io.FileDescriptor', 'int').implementation = function (a, b) {console.log("参数：", a, b);console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));return this.doHandshake(a, b);};
});// frida -UF -l 1.hook_check.js

3.3 pinner校验

3.3.1 寻找位置

pinner校验比较常见，在这里也比较简单：

aVar2.f28365k.a(aVar2.f28355a.f28521d, a11.f28513c);- 在安卓开发中，这个a方法其实就是 CertificatePinner类中的check方法
- 并且 aVar2.f28365k 返回的就是CertificatePinner类

所以，我们参考之前hook的check方法，来编写hook脚本，对此方法进行hook，例如：

Java.perform(function () {var pinner = Java.use('rk.f');pinner.a.overload('java.lang.String', 'java.util.List').implementation