首页
社区
课程
招聘
[分享]某壳分析学习过程-修复
发表于: 2018-4-23 17:42 6831

[分享]某壳分析学习过程-修复

2018-4-23 17:42
6831

在这篇https://bbs.pediy.com/thread-223223.htm文章里的代码基础上修改的。

这篇文章里的映射表是算准了各个解释指令代码的偏移。最新的壳里面代码位置看着很乱。然后我想,不管怎么乱,总要算出switch的跳转参数。然后拿两个应用试了下,即使它加密代码,算跳转的表变了,那个跳转参数是不变的。然后我新生成的映射表就是通过这个参数去还原指令。


一.生成映射表的思路就是:

1.动态调试拿到加密后的指令,算跳转的表。我自己写的app里的加密前指令,dalvik所有指令

2.加密前的指令和dalvik指令表对比(主要用来取指令长度,方便读下一条指令),然后加密指令根据跳转表,算出跳转位置,就知道加密前指令,加密指令,跳转位置的关系了。


最后效果如下,分别是加密前指令,指令长度,加密后指令,跳转位置,指令描述


二.还原指令

       还原指令时,主要问题是没想到好办法获取它跳转时的值。动态自动下断点也很慢。我是hook了它解释之前的函数,拿到了进解释器函数时的栈指针,因为栈里固定偏移有那个算跳转的表。之后就调用parse_tree(看这个博客https://bbs.pediy.com/thread-223223.htm),算出key,就算出跳转位置了。

获取栈代码如下:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (13)
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
2
大佬用的什么hook框架?  我hook没名字的函数不太成功 
2018-4-23 18:03
0
雪    币: 2719
活跃值: (1589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
必须要顶啊
2018-4-23 19:38
0
雪    币: 260
活跃值: (411)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
4
kiyaa 大佬用的什么hook框架? 我hook没名字的函数不太成功
这篇博客https://bbs.pediy.com/thread-223223.htm附件里有个hook框架。没注意名字。我hook一些地方时也hook不到。我想有些地方可能只是ida识别成函数了。可能它并不是函数。
2018-4-24 09:05
0
雪    币: 260
活跃值: (411)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
5
Vn小帆 必须要顶啊
2018-4-24 09:06
0
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
6
力霸天 这篇博客https://bbs.pediy.com/thread-223223.htm附件里有个hook框架。没注意名字。我hook一些地方时也hook不到。我想有些地方可能只是ida识别成函数了。可 ...
看到了,  里面也是  ele7enxxh  的  Android-Inline-Hook  和  ThomasKing  的  Hooklib  结合用的,  我也多试试 
2018-4-24 09:53
0
雪    币: 172
活跃值: (1623)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
kiyaa 看到了, 里面也是 ele7enxxh 的 Android-Inline-Hook 和 ThomasKing 的 Hooklib 结合用的, 我也多试试
用  ele7enxxh    的    Android-Inline-Hook就行了
2018-4-24 09:56
0
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
8
看到最后一步改用  TK  的了,  还以为可能有点问题 
2018-4-24 10:02
0
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
9
寒号鸟二代 用 ele7enxxh 的 Android-Inline-Hook就行了[em_13]
看到最后一步改用  TK  的了,  还以为可能有点问题 
2018-4-24 10:02
0
雪    币: 172
活跃值: (1623)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
kiyaa 看到最后一步改用 TK 的了, 还以为可能有点问题 [em_27]
我当时以为ele7enxxh  的  Android-Inline-Hook有点问题,后来测试了下只使用这个就可以了
2018-4-24 10:18
0
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
11
寒号鸟二代 我当时以为ele7enxxh 的 Android-Inline-Hook有点问题,后来测试了下只使用这个就可以了[em_39]
二代,  有没有那种能  hook  某个地址输出寄存器内容的框架?  不是函数开头的地址
2018-4-24 12:10
0
雪    币: 2694
活跃值: (80)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
12
学习了
2018-4-25 18:38
0
雪    币: 233
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
为什么隔几天来论坛总是看见破360的文章呢,就不能是邦邦,爱加密或者百度或者别的,这样的帖子发了N+1篇了你们不累么不累么,重复一遍又一遍,我看的都心累啊哥哥们,希望论坛多点经典的帖子!
最后于 2018-4-26 19:48 被烟雨破解编辑 ,原因:
2018-4-26 19:48
0
雪    币: 260
活跃值: (411)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
14
烟雨破解 为什么隔几天来论坛总是看见破360的文章呢,就不能是邦邦,爱加密或者百度或者别的,这样的帖子发了N+1篇了你们不累么不累么,重复一遍又一遍,我看的都心累啊哥哥们,希望论坛多点经典的帖子!
现在还在学习阶段啊。要不你写几个帖子,我们学学
2018-4-27 08:57
0
游客
登录 | 注册 方可回帖
返回
//