qtfreet00

Hello 2018

脱壳壳参考文章,https://bbs.pediy.com/thread-226926.htm 上述文章讲述的是动态调试dump脱壳,其实有个更简单的方式,hook libz.so的 uncompress 即可在内存中拿到解密后的so文件 小密盾没有直接的调用uncompress函数,而是通过dl...

发布 0 条评论

之前看到的一些文章,对于hook类似dlsym,dlopen函数时,往往时先dlopen linker,然后找到其中的偏移再进行hook,包括追踪一些软件行为时,可能我们需要hook大量的函数,包含java层和native层。java层的hook通常来说都比较简单,这里...

发布 1 条评论

界面展示: cfr是一款不错的java class反编译工具,官方地址:http://www.benf.org/other/cfr/ JRemapper最新版本为1.7(https://github.com/Col-E/JRemapper/releases),不过工程并没有包含依赖包,估计依赖的是cfr 1.2.2版本的反...

发布 1 条评论

看某so时,f5出现如下问题 搜索资料后发现是堆栈不平衡的问题 点击Option->General->Disassembly,勾上 Stack pointer 再次定位到2bce 这里联系上下文可以发现也并没有 sub sp ,sp,#的操作,故这里可能是ida识别错误导致了...

发布 0 条评论

简单的东西,记录一下 参考文章: http://blog.csdn.net/zhangmiaoping23/article/details/43445797 假设当前地址为A ,跳转到的地址为B ,需要计算的指令为 C 在ARM中,内存以4字节对齐,因此是 Cx4 并且PC是指向当前指令的下两条指...

发布 0 条评论

jadx载入 寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行 public class XposedEntry implements IXposedHookLoadPackage { p...

发布 2 条评论

常规的思路有检测maps和stack,当然无外乎还可以加一些手段,比如检测File路径,针对看雪的一篇文章 [原创]全网唯一 基于Xposed 修改CPU型号以及相关信息-『Android安全』-看雪安全论坛 http://bbs.pediy.com/thread-216442.htm 常规...

发布 0 条评论

逆向了梆梆加固,顺便学习下他是如何检测so异常的,根据注入的so,判断其导出函数是否包含hook函数,因为每个框架都是编译好的,所以也没办法去直接隐藏导出函数,如果检测到异常,则直接结束程序 检测/proc/pid/maps 遍历maps每...

发布 0 条评论

上一篇讲到了利用一些特有prop属性和特征文件去检测,这次利用一些设备关键信息去检测: 经过多次研究发现,当尝试去检测模拟器cpu温度时,返回的永远是0,百度检测Android如何获取cpu温度后,网上提供了个思路,利用: /sys/class/th...

发布 2 条评论

首先确认已经同步过4.4的Android系统源码,因为需要用到源码中的交叉编译工具 在Android系统源码中新建一个文件夹用来同步内核源码,如mkdir kernel 这里推荐使用清华的源 cd kernel git clone https://aosp.tuna.tsinghua.edu.cn/ke...

发布 0 条评论