Ta的论坛

{{ user_info.username }}

{{ user_info.brief }}

拉黑已拉黑关注已关注私信

头图
皮肤套装

使用

使用

主题(5) | 回帖(36) | 精华(0)

vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-28 15:24 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 AunCss 这是写驱动接口过检测吗不是驱动, 驱动搞这个兼容性太差了
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-23 12:13 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 mb_qvxwrrpg 我想问一下 opendir会触发inotify吗我直接读取 /proc/pid/map_files/呢? 会触发, 但是一些目标app是有一定的宽容度的, 因为很多系统工具也扫/proc
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-22 19:39 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 mb_fycbgpri 他最后说的vm_read也可以，不过我刚才试了一下用的shell  inotifyd - /proc/pid/mem读取内存代码 ... inotify 是文件系统通知, 不可能检测到process_vm_readv这个syscall的. 要想检测process_vm_readv, 只有两个办法. 一个是常用的用mmap进行pfn挖坑,然后通过pagemap或者mincore检测. 另一个就不提了.
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-22 16:43 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 mb_fycbgpri 073K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3M7$3S2G2j5$3E0W2M7W2)9J5k6h3N6A6N6r3S2#2j5W2)9J5k6h3W2G2i4K6u0r3x3U0l9J5x3W2)9J5c8U0l9#2i4K6u0r3x3o6S2Q4x3V1k6m8L8X3c8J5L8$3W2V1i4K6t1#2c8e0g2Q4x3U0f1^5y4W2)9J5y4e0R3#2i4K6t1#2c8e0g2Q4x3U0g2m8c8q4)9J5y4e0V1^5i4K6t1#2c8e0S2Q4x3U0g2m8c8W2)9J5y4f1u0n7i4K6t1#2c8e0g2Q4x3U0f1^5y4W2)9J5y4e0V1&6i4K6t1#2c8e0k6Q4x3U0g2m8x3#2)9J5y4e0R3H3i4K6t1#2c8e0k6Q4x3U0g2n7y4g2)9J5y4e0S2n7i4K6u0V1 ... 这个帖子是用inotify检测/proc/pid/mem读写, 但是process_vm_readv不是通过/proc/pid/mem实现的. process_vm_readv是内核的一个syscall, inotify是检测不到的. 075K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2L8r3W2^5K9i4u0Q4x3X3g2T1L8$3!0@1L8r3W2F1i4K6u0W2j5$3!0E0i4K6u0r3L8r3W2F1N6i4S2Q4x3V1k6$3y4W2)9J5k6e0q4Q4x3X3f1^5x3g2)9J5c8Y4y4G2N6i4u0U0k6g2)9J5c8X3W2F1j5$3I4#2k6r3g2Q4x3V1k6D9K9h3&6#2P5q4)9J5c8Y4y4&6M7$3y4S2L8r3I4K6i4K6u0W2K9q4)9J5x3@1H3&6z5o6p5`.
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-22 12:53 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 mb_fycbgpri Lnju inotify 是针对文件操作的 vmread读内存不会触发的非内核的外部读写访问/proc/pid/mem有痕迹 process_vm_readv这是个系统调用, 不通过/proc/pid/mem的
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-22 11:17 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享你瞒我瞒感谢大佬的回答，上面是暴力搜索，其实我小白更想知道，如果要自己去算，针对某个版本的代码去算，应该怎么算，这个算的案例想学习，之前看到别人写好的偏移量，看起来就是个魔数，一脸懵。可以手动算, 根据成员大小和对齐一个个累加起来就能得到偏移量, 这主要涉及到c语言结构体和平台对齐规则相关的知识. 但是这样很累. 一般实践中, 都是拷结构体出来编译, 或者直接编译整套源码加自己的代码, 写点代码用offsetof直接取偏移量, 导出来用. 编译的时候注意一些宏, 因为宏可能会影响结构体的最终结构. 比如soinfo里的work_around宏.
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-21 12:15 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享你瞒我瞒 "只要计算一下就可以拿到 soinfo->next 和 soinfo->load_bias 这两个关键信息了",小白懵了，这个具体是怎么计算的，可以给个例子嘛你可以不算的, 代码里的做法就是暴力搜这两个成员的偏移量
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-21 12:14 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 Amun solist 是个坑，不如这样 ```C #include #include /* For task_struct / #include / For find_get_pid * ... 这样遇到不同的内核版本也完蛋, 只能弄payload module 我试过这个, 很累
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-10-21 12:12 0 [原创] 不碰/proc/pid/maps拿到目标App地址分布思路分享 Thehepta 谁来执行这个代码，如果，你是app进程，并没有读取zygote的权限啊，如果是root进程，读哪里都一样，我对你这个思路的使用方式更感兴趣主要是这样过inotify方便一点
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-9-5 16:04 0 [求助]脱壳，能和原文件一样正常执行，是个压缩壳手工修修复了upx相关的头,但是upx -d还是没能脱掉.后面来的人还是尽量尝试dump吧.
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-8-15 20:12 0 （新手向）新版某数字壳脱壳，过frida检测，及重打包 xsSkyFall 这倒是一个办法[em_63]，不过这样改smail貌似有点麻烦吧改一处好过改若干处
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-8-15 09:52 1 （新手向）新版某数字壳脱壳，过frida检测，及重打包其实你可以把真正入口改为继承com.stub.StubApp的, 反正App都不会主动创建Application实例的.
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-8-10 16:06 0 [分享]IDA BETA 9.0 crack Linux x86_64 0x4A2DA7: E9 CF FB FF FF => E9 84 FF FF FF
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-5-8 16:48 0 android平台的注入有哪些？内核模块
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2024-2-2 20:35 0 [求助]寻找在ANDROID11不用ROOT就能查看抓包数据的方法和工具加frida gadget
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2023-7-5 15:54 0 [原创]代码管理器 CodeManager v1.2.6 不错了，建议数据库改sqlite，然后UI改为Qt，搞成跨平台，前途大大滴有。
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2023-7-5 15:43 0 [原创]ART环境下dex加载流程分析及frida dump dex方案行简确实使用错误，感谢纠错，已更正！越界dex你说的是方法数超过65536会进行分包操作？这种情况的话不用担心，只要是一代壳都能dump。我指的是OpenMemory/OpenCommon的size参数比实际dex内容小的情况。
vrolife 雪币： 440 活跃值： (1513) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 36 粉丝 40 关注私信	vrolife 2023-7-4 08:29 0 [原创]ART环境下dex加载流程分析及frida dump dex方案 “大相径庭”这个成语是不是用错了？这样直接存参数给定的内存区域，如果遇到越界的dex咋办？

{{ user_info.digests_3 }}

精华数

{{ user_info.rank }}

RANk

{{ user_info.golds == '' ? 0 : user_info.golds }}

雪币

{{ points }}

活跃值

关注数

粉丝数

{{ experience }}

课程经验

{{ score }}

学习收益

{{study_duration_fmt}}

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值

活跃值：

活跃值

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值