# helloworld样本文件4lrjl

**Repository Path**: null_465_7266/hello-world-sample-file-4lrjl

## Basic Information

- **Project Name**: helloworld样本文件4lrjl
- **Description**: 这是一个脚本的高级版打包的文件，包含混淆和不混淆版本
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2025-09-21
- **Last Updated**: 2025-10-15

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# Lua字节码分析工具集

基于APK逆向分析结果开发的Lua字节码解密和监控工具集。

## 工具概述

### 1. lua_bytecode_decryptor.py
Python版本的Lua字节码解密工具，支持多种加密方式。

**功能特性：**
- 自动检测加密类型（XOR、自定义加密等）
- 支持多种常见密钥的暴力破解
- Lua字节码头部分析
- 字符串提取功能
- 批量处理支持

**使用方法：**
```bash
# 基本解密
python lua_bytecode_decryptor.py input.luac

# 指定密钥解密
python lua_bytecode_decryptor.py input.luac -k 5a5a5a5a

# 分析模式
python lua_bytecode_decryptor.py input.luac -a -s

# 指定输出文件
python lua_bytecode_decryptor.py input.luac -o decrypted.luac
```

### 2. lua_execution_monitor.js
完整的Frida Hook脚本，监控Lua执行的全流程。

**监控功能：**
- LuaEngine初始化过程
- 脚本执行入口点（iIlLiL.m1069ili11）
- 字节码加载和解密
- 字符串解密过程
- HTTP请求监控
- 文件系统访问
- 内存中的Lua字节码扫描

**使用方法：**
```bash
# 附加到运行中的应用
frida -U -l lua_execution_monitor.js com.nx.assist

# 启动应用并监控
frida -U -f com.nx.assist -l lua_execution_monitor.js --no-pause
```

### 3. lua_bytecode_comprehensive_analysis_tool.js
综合分析工具，包含解密和监控功能。

## 核心发现

### 加密算法分析
1. **XOR加密**：使用固定密钥进行XOR运算
2. **自定义加密**：字节替换 + XOR组合算法
3. **常见密钥**：
   - `lua` (0x6c7561)
   - `nx` (0x6e78)
   - `0x5a5a5a5a`
   - `0x42424242`

### 关键类和方法
- `iIlLiL.m1069ili11()`: 脚本执行入口点
- `LuaEngine.Init()`: Lua引擎初始化
- `Engine.start()`: 原生脚本启动
- `IiL.m1253IL()`: 字符串解密
- `l.m1347iILLL1()`: checklua_enc API调用

### 执行流程
1. 应用启动 → LuaEngine.Init()
2. 脚本加载 → iIlLiL构造函数
3. 执行准备 → m1069ili11()
4. 原生启动 → Engine.start()
5. 脚本运行 → LuaNative.pcall()

## 配置说明

### lua_execution_monitor.js 配置
```javascript
const CONFIG = {
    LOG_LEVEL: 'INFO',        // 日志级别
    SAVE_BYTECODE: true,      // 保存字节码文件
    SAVE_STRINGS: true,       // 保存提取的字符串
    MONITOR_HTTP: true,       // 监控HTTP请求
    MONITOR_FILES: true,      // 监控文件访问
    MAX_LOG_SIZE: 1000000,    // 最大日志大小
    OUTPUT_DIR: '/data/data/com.nx.assist/frida_logs/'
};
```

## 输出文件

### 日志文件
- `lua_execution.log`: 完整的执行日志
- `bytecode_*.luac`: 提取的Lua字节码文件
- `strings_*.txt`: 提取的字符串列表

### 分析报告
工具会自动生成包含以下信息的分析报告：
- 字节码版本和格式信息
- 加密类型和密钥
- 提取的字符串列表
- HTTP请求记录
- 文件访问记录

## 高级用法

### 1. 批量解密
```bash
# 批量处理目录中的所有.luac文件
for file in *.luac; do
    python lua_bytecode_decryptor.py "$file" -a -s
done
```

### 2. 实时监控
```bash
# 实时监控并保存所有数据
frida -U -l lua_execution_monitor.js com.nx.assist > monitor.log 2>&1
```

### 3. 内存转储分析
```bash
# 转储应用内存并分析
adb shell "su -c 'cat /proc/$(pidof com.nx.assist)/maps'"
# 然后使用工具分析转储的内存文件
```

## 故障排除

### 常见问题
1. **权限不足**：确保设备已root且Frida服务正常运行
2. **类未找到**：检查应用版本，类名可能已混淆
3. **解密失败**：尝试不同的密钥或检查加密算法

### 调试技巧
1. 启用DEBUG日志级别获取详细信息
2. 使用内存扫描功能查找遗漏的字节码
3. 监控HTTP请求了解远程脚本加载

## 注意事项

1. **合法使用**：仅用于安全研究和学习目的
2. **性能影响**：监控脚本可能影响应用性能
3. **版本兼容**：工具基于特定版本开发，新版本可能需要调整
4. **数据安全**：注意保护提取的敏感信息

## 更新日志

- v1.0: 初始版本，支持基本解密和监控
- v1.1: 添加内存扫描和批量处理
- v1.2: 优化性能和错误处理

## 贡献

欢迎提交Issue和Pull Request来改进工具功能。