当发现lua文件才是本体后，接下来的步骤就是解析lua文件，但预料之中这个过程远比我预想的要困难 尝试直接打开lua文件 我们先尝试直接打开main.lua: ??? lua不是门脚本语言吗，为什么像用记事本打开二进制文件一样的全是乱码？ 一通Google之后，我发现原来lua是可以编译为字节码的，编译后文件叫做luac。 那么反编译不就行了？ 尝试反编译 于是我用unluac反编译时，得到了这个： 意思是这不是luac文件喽？ 二进制文件的文件头都会标注文件类型，那用16进制编辑器打开看看： 没有文件头？ 既然没有文件头，程序却能以lua文件运行，那只能说明被加密了。 解密luac

当比对完hash后，接下来就是对整个apk进行逆向了。 首先我们对“一份礼物.apk”进行逆向 需要的工具 * Jadx分析apk文件结构 apk本质上是一个加了签名和元数据的压缩包，用普通的解压工具解压即可得到内部的文件。 内部的文件结构如下所示：1 2 3 4 5 6 7 8 9 . ├── AndroidManifest.xml ├── META-INF ├── assets ├── classes.dex ├── com ├── lib ├── lua

前言 当我关注到这个app时，是我一个现居异地的朋友发的一条说说。 其实早在几个小时前，宿舍里放出O泡果奶广告的声音时，我就体会过这个app的威力了，但我以为它只在我们学校内传播。 直到我看见了那条说说。 当我顺手转发了之后，十多条评论纷纷抱怨他们的经历，我一个朋友还给我发了他们大学流传的apk，我逐渐意识到不对劲。 但真正使我打算认真分析这个app的，是我另一个朋友让我发这个apk的hash的消息。 于是，我便走上了逆向工程之路。 hash比对的原因 不同地方流传的apk，名字可能会不一样。就比如我手上的两个apk：“一份礼物.apk”和“存档人物修改2.0.apk”，要验证这两个apk是