Hook系统native导出函数时快速定位

2018-02-02

之前看到的一些文章,对于hook类似dlsym,dlopen函数时,往往时先dlopen linker,然后找到其中的偏移再进行hook,包括追踪一些软件行为时,可能我们需要hook大量的函数,包含java层和native层。java层的hook通常来说都比较简单,这里...

一款基于cfr的jar包可视化反编译工具JRemapper

2017-10-12

界面展示: cfr是一款不错的java class反编译工具,官方地址:http://www.benf.org/other/cfr/ JRemapper最新版本为1.7(https://github.com/Col-E/JRemapper/releases),不过工程并没有包含依赖包,估计依赖的是cfr 1.2.2版本的反...

一例positive sp value has been found

2017-07-17

看某so时,f5出现如下问题 搜索资料后发现是堆栈不平衡的问题 点击Option->General->Disassembly,勾上 Stack pointer 再次定位到2bce 这里联系上下文可以发现也并没有 sub sp ,sp,#的操作,故这里可能是ida识别错误导致了...

ARM中跳转地址的计算

2017-07-11

简单的东西,记录一下 参考文章: http://blog.csdn.net/zhangmiaoping23/article/details/43445797 假设当前地址为A ,跳转到的地址为B ,需要计算的指令为 C 在ARM中,内存以4字节对齐,因此是 Cx4 并且PC是指向当前指令的下两条指...

某xposed微信群发工具dex解密

2017-06-16

jadx载入 寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行 public class XposedEntry implements IXposedHookLoadPackage { p...

检测Xposed改机的一点小技巧

2017-05-10

常规的思路有检测maps和stack,当然无外乎还可以加一些手段,比如检测File路径,针对看雪的一篇文章 [原创]全网唯一 基于Xposed 修改CPU型号以及相关信息-『Android安全』-看雪安全论坛 http://bbs.pediy.com/thread-216442.htm 常规...

梆梆加固免费版检测so hook方案

2017-05-09

逆向了梆梆加固,顺便学习下他是如何检测so异常的,根据注入的so,判断其导出函数是否包含hook函数,因为每个框架都是编译好的,所以也没办法去直接隐藏导出函数,如果检测到异常,则直接结束程序 检测/proc/pid/maps 遍历maps每...

基于模拟器特征的反模拟器检测(二)

2016-12-20

上一篇讲到了利用一些特有prop属性和特征文件去检测,这次利用一些设备关键信息去检测: 经过多次研究发现,当尝试去检测模拟器cpu温度时,返回的永远是0,百度检测Android如何获取cpu温度后,网上提供了个思路,利用: /sys/class/th...

编译Nexus5 4.4反反调试内核记录

2016-12-15

首先确认已经同步过4.4的Android系统源码,因为需要用到源码中的交叉编译工具 在Android系统源码中新建一个文件夹用来同步内核源码,如mkdir kernel 这里推荐使用清华的源 cd kernel git clone https://aosp.tuna.tsinghua.edu.cn/ke...

基于模拟器特征的反模拟器检测

2016-12-12

常用的模拟器都会进行一定程度的定制,定制后都会有些带有该型号特征的文件,比如海马玩在system/bin下就有一个droid4x-prop,在一般的手机上是不会有这个文件的,根据这一特征,我们可以在jni中使用stat函数对该文件的状态进行检测,...