[原创] 60秒学会用eBPF-BCC hook系统调用 ( 2 ) hook安卓所有syscall
libbpf 会不会比 bcc 省事？

[原创]Android 应用多开对抗实践

学编程 // --- Java --- import java.io.File; boolean isDualApp(String dataDir){ return new File(dataD ...

证明这个多开容器的 I/O Hook 不够全

[原创]让你的Android Studio能够对任意进程进行源码级native debug
mark，催更

[原创]IL2CPP runtime dump
和两年半之前某个单机手游的保护有点像，只能防一下静态分析。

[原创]Android 10属性系统原理,检测与定制源码反检测

wx_白熊 没看懂，这样怎么判断呢

杀软常规做法，收集白名单，只要一个文件不在白名单中，它就很可能是新的木马病毒。

null
懂得都懂，具体看怎么实现，糟糕的实现要么调试符号对不上，要么体积大很多。

[求助]怎么在编译so文件时候，隐藏用ida打开后的Shared Name
这个是 Dynamic Section 中 DT_SONAME 的内容
在链接参数里添加 `-Wl, -soname, ${SONAME}` 就可以就会存在
比如
`g++ -shared -fPIC -Wl,-soname,${SONAME} -o ${REAL_NAME} ${SOURCE_FILE}`

所以，你不添加 -soname 选项就可以了。
或者，你手动擦除 ELF 文件 Dynamic Section 中的 DT_SONAME 记录

XXX
如果 APP 有使用带 JIT 的脚本引擎，JIT 部分的内存通常是 RWX 的，就不能用 W^X 判断风险了。

[原创]批量检测android app的so中是否有svc调用
怎么个批量法，是不是忘了把脚本贴上来

Android Server系统服务器现在有吗？
假定你的 ARM 服务器是树莓派4B，你可以选择 LineageOS 17.1 Android TV (Android 10) 这种系统。
我觉得还不如把 ESXI on ARM 部署到树莓派上，创建虚拟机来跑 ubuntu 系统，再使用 anbox 运行 APK

[原创]非root环境下frida持久化的两种方式及脚本

总结如下: 

1. 给 APK 内的动态库新增依赖项，重新签名

2. 修改 APK 内的 dex 文件，添加 loadLibray，重新签名

都重新签名，那么明显的检测特征，要不再完善一下，加上过文件校验和签名检测的脚本？

[求助]Frida MemoryAccessMonitor 使用问题
> monitor one or more memory ranges for access, and notify on the first access of each contained memory page.
MemoryAccessMonitor 的功能描述就是这样，第一次访问内存页的时候回调，没问题。

[原创]使用ollvm编译Linux内核驱动模块.ko的正确方法、解决ollvm编译导致加载驱动报错“please compile with -fno-common”
感觉配置一下 linker script 应该就可以了

​删帖
https://bbs.pediy.com/thread-255212.htm
`从网上抄的` 没毛病。

[原创]Android svc获取设备信息
能介绍一下 GS虚拟机 是怎么拦截 syscall 的吗？gVisor 是 Ptrace 或 kvm，Android上kvm行不通，但这虚拟机的进程里也是 TracerPid:0

某非法手游协议分析与测试
样本发一下呗

[原创]游戏YS的global-metadata文件保护分析记录
对`global-metadata.dat`文件加密，用于反dump数据结构的做法，效果就跟纸糊的一样；

[原创]关于Unity游戏Mono注入型外挂的一个检测思路

好，又来个叫 BepInEx 的小伙子，在跃跃欲试，看老同志禁不禁打