|
|
[讨论]关于android arm硬断有门了
syscall监控,其实也和ssdt hook原理差不多。可以编译源码,然后给自己留一个加载驱动的后门,以后你比如想拦截fopen的syscall,那就写一个android驱动,用你的后门加载。记得打开符号屏蔽。 |
|
|
[讨论]关于android arm硬断有门了
老哥牛批,我的电脑配置太低编译不了android源码,坑。。。内核读写有个process_readv系统调用,专门用来搞内存的,也可以写入 |
|
|
|
|
|
[讨论]看雪不知道什么原因封禁Jack李冰的帐号
你的意思,他破解了别人的外挂,不开卡销售,不违法吗?他破解了100个外挂,一共赚10万,然后卖给玩家,不算违法?那这样的话,以后那些外挂作者都可以说“反正不是我写的,我是破解别人的”,所以都不用被抓? |
|
|
[讨论]看雪不知道什么原因封禁Jack李冰的帐号
你破解就破解,无可厚非,但是再卖给玩家就和做外挂一个性质了。就好比,小偷偷了电瓶车拿出去卖,你再偷小偷的拿出去卖,你觉得你和小偷的性质有啥区别。 |
|
|
|
|
|
[求助]求教如何把函数地址的符号字符串。写出来
更简单的办法,直接ccfexploree和python就可以。。纯静态。。。。 |
|
|
|
|
|
很想反驳,但是我尽然无言以对。。 |
|
|
[求助]求教如何把函数地址的符号字符串。写出来
我勒个去,有这么好的东西。。我本来的思路是,先用x64dbg到了oep,然后用ollymigrate把调试权限传递给ida,利用ida的python拓展来恢复调用信息。
最后于 2019-5-21 18:30
被白菜大哥编辑
,原因:
|
|
|
[求助]求教如何把函数地址的符号字符串。写出来
用ida可以确定区间。大佬加个联系方式吗。一起搞。我是最近约妹子没时间写代码,思路已经很清晰了,其实900个函数,自己一个一个也能修复了 |
|
|
[求助]求教如何把函数地址的符号字符串。写出来
谢谢。但是又引出了新的问题,比如 push ebp mov ebp,esp这种,vmp会shadow掉前几句代码,很烦。。。 |
|
|
[原创]分析强壳的虚拟机原理
没那么容易的,他的字节码,不一定一次取几个字节。比如正走比如倒走,比如一次四个字节比如一次一个字节。想用这种方式去还原虚拟机,不是好办法。因为字节码并不是可靠的,而且新版本没有你的“dispatcher”,是靠寄存器连接的,每一段代码,并不知道下一段在哪里。 |
|
|
[原创]vmprotect某版本浅析
我没用run trace,这种会被他带入误区。我是动态中的静态分析。 |
|
|
[原创]vmprotect某版本浅析
现在我自己可以手动修复iat了,但是写程序太麻烦。半天写不完这个程序,很烦。。主要code能力太差。其实剩下的很简单了。所有需要修复的地方,以及修复的方法都很明确的,比如0x00400010改0x10为0x20,很精确的,所有位置和改法都有了。。就是我写程序,总是bug。全是些编译错误。很尴尬。。
最后于 2019-5-9 11:31
被白菜大哥编辑
,原因:
|
|
|
[原创]vmprotect某版本浅析
没有磨灭。现在找oep搞定了,没写上来,iat修复不难,正在写脚本。快结贴了 |
|
|
[原创]vmprotect某版本浅析
你好,你看这样符合吗。这是正面刚vmp,从一开始啥也不懂,连vmp调用啥api也不懂。逐步分析 过反调试,最后贴了所有vmp308的api序列,最终用最直接的方式解释了,为什么脱壳vmp一定是对VirtualProtect下断而不是别的函数。当然还会更新,包括之后如何找oep修复iat |
月落之汀
无边
采臣·宁
hzqst
呆逼东西
frdGo
xiaohang
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
