Ollvm v5.0非官方整合版本

2017-10-12

在上一篇帖子里集成了孤挺花和ollvm 4.0的混淆功能,并基于6.0 alpha版本进行了集成,在上个月llvm已经发布了5.0正式版本,(又从6.0降回到了5.0 -- ),在基于官方几个pull 和 其他人的一些修改后集成到了5.0版本里,github地址:htt...

一款基于cfr的jar包可视化反编译工具JRemapper

界面展示: cfr是一款不错的java class反编译工具,官方地址:http://www.benf.org/other/cfr/ JRemapper最新版本为1.7(https://github.com/Col-E/JRemapper/releases),不过工程并没有包含依赖包,估计依赖的是cfr 1.2.2版本的反...

简单破解010 Editor v8.0.1 Windows & MacOS

2017-10-10

所用工具: IDA 7.0 x64dbg Hooper 010 Editor At4re Xcode 根据分析,当注册码不对时,提示Invalid name or password ....,正确时提示Thank you for .... [] 注意红色标注的地方...

一例positive sp value has been found

2017-07-17

看某so时,f5出现如下问题 搜索资料后发现是堆栈不平衡的问题 点击Option->General->Disassembly,勾上 Stack pointer 再次定位到2bce 这里联系上下文可以发现也并没有 sub sp ,sp,#的操作,故这里可能是ida识别错误导致了...

ARM中跳转地址的计算

2017-07-11

简单的东西,记录一下 参考文章: http://blog.csdn.net/zhangmiaoping23/article/details/43445797 假设当前地址为A ,跳转到的地址为B ,需要计算的指令为 C 在ARM中,内存以4字节对齐,因此是 Cx4 并且PC是指向当前指令的下两条指...

Java混淆器Allatori v6.2 DEMO的一些分析

2017-07-06

环境 Windows 10 + ubuntu Allatori是一款很不错的混淆器,可以混淆java写的java程序或者android程序。 因为allatori里所有文件都是IIIiiiIII此类进行混淆的,并且长度一样,所以不能在Windows下进行解包,拖到ubuntu下使用cfr进行反...

为ollvm 4.0 集成字符串混淆Pass

2017-07-02

@author qtfreet00 @time 2017-07-02 @location mars ollvm是款非常棒的native混淆器,在llvm编译器上加上了流程混淆pass,再看到上交开源了他们改造的llvm,在其基础上加上了字符串混淆功能。 pass示例: http://www.nagain.com/activ...

记录编译OLLVM 4.0 Windows x64

2017-07-01

前几天Ollvm更新了编译器版本到官方最新的4.0.1,这里记录下编译的坑 Linux上编译会比较轻松,这里踩的Windows的坑 编译器选择 MinGW64 for Windows Cmake 3.9 rc5 for Windows x64 这里注意下套件都是选择的64位版本的,并且要注意最...

某xposed微信群发工具dex解密

2017-06-16

jadx载入 寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行 public class XposedEntry implements IXposedHookLoadPackage { p...

躲避通过StackTraceElement检测xposed

2017-05-27

一般检测Xposed可以通过是否getInstallApplication查看是否已经安装了Xposed框架,在程序运行时还可以通过堆栈信息或者是maps来查看是否安装了Xposed,这里主要分享一个针对Stack来躲避检测Xposed的想法 通过Stack检测一般两种手段,...