qtfreet00

Hello 2018

脱壳壳参考文章,https://bbs.pediy.com/thread-226926.htm 上述文章讲述的是动态调试dump脱壳,其实有个更简单的方式,hook libz.so的 uncompress 即可在内存中拿到解密后的so文件 小密盾没有直接的调用uncompress函数,而是通过dl...

发布 0 条评论

之前看到的一些文章,对于hook类似dlsym,dlopen函数时,往往时先dlopen linker,然后找到其中的偏移再进行hook,包括追踪一些软件行为时,可能我们需要hook大量的函数,包含java层和native层。java层的hook通常来说都比较简单,这里...

发布 3 条评论

在上一篇帖子里集成了孤挺花和ollvm 4.0的混淆功能,并基于6.0 alpha版本进行了集成,在上个月llvm已经发布了5.0正式版本,(又从6.0降回到了5.0 -- ),在基于官方几个pull 和 其他人的一些修改后集成到了5.0版本里,github地址:htt...

发布 1 条评论

界面展示: cfr是一款不错的java class反编译工具,官方地址:http://www.benf.org/other/cfr/ JRemapper最新版本为1.7(https://github.com/Col-E/JRemapper/releases),不过工程并没有包含依赖包,估计依赖的是cfr 1.2.2版本的反...

发布 1 条评论

所用工具: IDA 7.0 x64dbg Hooper 010 Editor At4re Xcode 根据分析,当注册码不对时,提示Invalid name or password ....,正确时提示Thank you for .... [] 注意红色标注的地方...

发布 0 条评论

看某so时,f5出现如下问题 搜索资料后发现是堆栈不平衡的问题 点击Option->General->Disassembly,勾上 Stack pointer 再次定位到2bce 这里联系上下文可以发现也并没有 sub sp ,sp,#的操作,故这里可能是ida识别错误导致了...

发布 0 条评论

简单的东西,记录一下 参考文章: http://blog.csdn.net/zhangmiaoping23/article/details/43445797 假设当前地址为A ,跳转到的地址为B ,需要计算的指令为 C 在ARM中,内存以4字节对齐,因此是 Cx4 并且PC是指向当前指令的下两条指...

发布 0 条评论

环境 Windows 10 + ubuntu Allatori是一款很不错的混淆器,可以混淆java写的java程序或者android程序。 因为allatori里所有文件都是IIIiiiIII此类进行混淆的,并且长度一样,所以不能在Windows下进行解包,拖到ubuntu下使用cfr进行反...

发布 0 条评论

@author qtfreet00 @time 2017-07-02 @location mars ollvm是款非常棒的native混淆器,在llvm编译器上加上了流程混淆pass,再看到上交开源了他们改造的llvm,在其基础上加上了字符串混淆功能。 pass示例: http://www.nagain.com/activ...

发布 0 条评论

前几天Ollvm更新了编译器版本到官方最新的4.0.1,这里记录下编译的坑 Linux上编译会比较轻松,这里踩的Windows的坑 编译器选择 MinGW64 for Windows Cmake 3.9 rc5 for Windows x64 这里注意下套件都是选择的64位版本的,并且要注意最...

发布 1 条评论