[原创]细品sec2023安卓赛题

zxk1ng 师傅，您注入了frida-il2cppDumper后，他那个函数调用顺序是哪里找到的呢

现在不能打印函数调用顺序了嘛 我做这题时用的是这个分支 复现应该没有问题滴 https://github.com/IIIImmmyyy/frida-il2cppDumper/tree/f20ccc1a81ca3be642ab9f770bd681a6176ffd13

[原创]细品sec2023安卓赛题

mb_ytiyqklv 再次使用Il2CppDumper获取符号信息时的参数 ，输入的0x712ba244d0是什么？我看你输入的不是so的基本地址，这个值从哪里获取到的

输入的dump address是0x712a9c2000呀，0x712ba244d0是Il2CppDumper生成的

[原创]APP加固dex解密流程分析

tDasm 楼主研究一下360vip加固？

之后如果有遇到的话会去分析一下滴

[原创]APP加固dex解密流程分析

mb_ytiyqklv function hook_5E6C(){ var module = Process.findModuleByName("libjiagu_64.so"); I ...

当时想看看后面还有没有其他的数据所以就dump的稍微多了一些

[原创]APP加固dex解密流程分析

珍惜Any 目前是我看到分析最全的一篇文章，???? 。 但是我一点不太理解，就是这种自定义linker这种，直接dump内存在修复不行么？

这里使用的思路也是dump内存再修复，只是这个由自定义linker加载的so在dump下来之后因为program header table被加密的缘故，而解密后的pht又和被加载so所映射的内存是分离的，sofixer这种so修复工具没有办法正常解析so，所以得找到解密后的pht，我使用的办法是直接追函数执行流找到pht的解密函数，然后静态解密出来再patch回去，其实应该有更加通用的方法就是找到soinfo然后去读soinfo->phdr，重构program header table，我看到seeflower大佬的一篇blog https://blog.seeflower.dev/archives/299/ 中，是通过hook soinfo->call_constructors获取到soinfo指针的。我觉得或许只要拿到soinfo，通过对这个结构体的各个成员进行逆向解析，依次获取soinfo中记录的ELF文件各个字段所映射的地址，并读取相对应的内存，就能够重构出一个标准的so来？。

[原创]APP加固dex解密流程分析

万里星河 来回拜读了三遍 关于主so的修复简直精彩绝伦 如果dex的解密算法也搞出来了就是绝杀了

今天看了一下dex的解密算法看起来应该是自定义的算法

[原创]APP加固dex解密流程分析

因为section段的信息被修改了,而ida静态分析首先依据的就是section段的相关内容,其实对于壳ELF来说,我们可以直接将section段的内容全部都置为0

这样IDA会自己通过动态表找到对应的符号如图所示

但是这样做会缺少一些信息,有的时候缺少的这类信息就是逆向的关键所在

例如我们对dlopen进行交叉引用,发现只有一个交叉引用

但是对于从内存中dump下来的壳elf来说,对于dlopen的交叉引用却有五个

[原创]APP加固dex解密流程分析

wx_justght 大佬们，在dump program_header时 0x38*0x6+0x20；这个地方 +0x20是什么意思

这里program header table的大小应该是0x38*0x6的,不过我当时好奇后面是不是还有数据所以就dump的稍微多了些

[原创]APP加固dex解密流程分析

乐子人 他那个interpreter_wrap_int64就是他的vm，只不过他只是把入口函数流程vm了，子函数还是直接调用的。

怪不得只要看到interpreter_wrap_int64就不知道下一个调用的函数是什么了,原来是有个VMP在这里

[原创]APP加固dex解密流程分析

怜渠客 一般来说是会给Activity类的onCreate函数进行VMP的，不清楚楼主为什么没遇到

我才发现主dex的oncreate函数变成了native声明,得看看这是怎么个回事了

[原创]APP加固dex解密流程分析

hzqhacker 脱壳哪用那么麻烦。主要是修复VMP。看起来内容挺多，但是有点太多

是的要是单论脱壳而言有很多内容的确是多余的,想要脱壳的话直接用FART,frida-hexdump内存搜索或者hook libart.so的DexFile相关类就可以了,这样最多只需要过一个反调试就够了.我本来也是冲着VMP来的不过没想到做完前面修复VMP前的铺垫就花了那么长的篇幅,之后等我对VMP理解足够深入了之后,再回来这里把VMP分析完吧

[原创]flutter逆向 ACTF native app

mb_ykhckzcr 师傅我trace有问题，一直打印出14，具体的步骤可以教一下吗

你需要点一下这个勾号确认文本框的提交 ,

点击提交之后在"submitted:"后面出现你输入的字符串才算是正确的把输入给输进去了,不然你的输入就是空字符串

[原创]将rwProcMem33编译进安卓内核

sanqiu 怎么判断模块是否被成功编译到内核了

在adb shell输入命令ls sys/module/ ,如果编译的模块名称出现在这里面就说明模块被成功编译到内核了

[原创]flutter逆向 ACTF native app

xzy____ https://segmentfault.com/a/1190000044464286 这个文章是搬运的吗？

看了一下应该是别的师傅参考这里的文章复现了ACTF的这题,说明我写的内容还是有意义的:)

[原创]flutter逆向 ACTF native app

你瞒我瞒 大佬你的博客崩溃了

不是崩了是域名过期了这个月比较忙,下个月初我把域名重新买回来

[原创]DASCTF 2023六月挑战赛 二进制专项 RE writeup

mb_estrypsw 为什么我查看字节码提示这个[em_2] dis.dis(marshal.load(f)) ValueError: bad marshal data (unknown type code)

用与pyc相同版本的python运行代码就可以查看到字节码了,例如这里的代码你用python3.11运行就不会报错了

[原创]flutter逆向 ACTF native app

hpphpp flutter IDA动态调试断下一段时间后经常会无法恢复运行,然后报错

先在输入框中输入字符串之后再点按钮,然后到IDA中点击绿色的箭头来动态调试,要是在IDA运行的时候弹出小键盘的话会有概率导致无法运行的

[原创]对某apk的一次插桩记录

0xuu 可以分享下 APK 吗

没想到没有把分享链接设置成永久的我把这个apk传到文章末尾的附件里面了