一例positive sp value has been found

2017-07-17

看某so时,f5出现如下问题 搜索资料后发现是堆栈不平衡的问题 点击Option->General->Disassembly,勾上 Stack pointer 再次定位到2bce 这里联系上下文可以发现也并没有 sub sp ,sp,#的操作,故这里可能是ida识别错误导致了...

ARM中跳转地址的计算

2017-07-11

简单的东西,记录一下 参考文章: http://blog.csdn.net/zhangmiaoping23/article/details/43445797 假设当前地址为A ,跳转到的地址为B ,需要计算的指令为 C 在ARM中,内存以4字节对齐,因此是 Cx4 并且PC是指向当前指令的下两条指...

Java混淆器Allatori v6.2 DEMO的一些分析

2017-07-06

环境 Windows 10 + ubuntu Allatori是一款很不错的混淆器,可以混淆java写的java程序或者android程序。 因为allatori里所有文件都是IIIiiiIII此类进行混淆的,并且长度一样,所以不能在Windows下进行解包,拖到ubuntu下使用cfr进行反...

为ollvm 4.0 集成字符串混淆Pass

2017-07-02

@author qtfreet00 @time 2017-07-02 @location mars ollvm是款非常棒的native混淆器,在llvm编译器上加上了流程混淆pass,再看到上交开源了他们改造的llvm,在其基础上加上了字符串混淆功能。 pass示例: http://www.nagain.com/activ...

记录编译OLLVM 4.0 Windows x64

2017-07-01

前几天Ollvm更新了编译器版本到官方最新的4.0.1,这里记录下编译的坑 Linux上编译会比较轻松,这里踩的Windows的坑 编译器选择 MinGW64 for Windows Cmake 3.9 rc5 for Windows x64 这里注意下套件都是选择的64位版本的,并且要注意最...

某xposed微信群发工具dex解密

2017-06-16

jadx载入 寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行 public class XposedEntry implements IXposedHookLoadPackage { p...

躲避通过StackTraceElement检测xposed

2017-05-27

一般检测Xposed可以通过是否getInstallApplication查看是否已经安装了Xposed框架,在程序运行时还可以通过堆栈信息或者是maps来查看是否安装了Xposed,这里主要分享一个针对Stack来躲避检测Xposed的想法 通过Stack检测一般两种手段,...

PMS代理模式检测小改

2017-05-26

原文: [原创]PMS注册检测实现-『Android安全』-看雪安全论坛 http://bbs.pediy.com/thread-217827.htm 通过Proxy代理的特性可以发现所有被代理的类都是继承Proxy的,根据instanceof Proxy可以进行判断,不过如果去找这个点感觉比较麻...

Android O上取设备信息的一些改动

2017-05-19

不再使用Build.Serial,转而使用Build.getSerial(),否则会提示access denied 舍弃Telephony.getDeviceId()方法,不推荐使用 Android_id不再根据用户生成,而是根据app包名,签名生成唯一值,每个app不同,因更新签名导致密钥变化不影...