-
-
[原创]小密盾简单逆向分析
-
发表于:
2018-5-21 20:16
12422
-
前几天出了个小密盾,针对插件加固的,好奇的简单分析了一下,写了个样本简单的加固了一下,以下是分析过程。
一:静态分析
静态分析发现,根据这些函数参数发现很多函数进行了加密,经过加密处理的,应该是比较重要的。并且新加了几个节,字符串也都消失了,所以静态整体看起来做的保护还不错,接下来动态分析一下看看里面做了什么。
二:动态分析
由于JNI_Onload经过了加密,因此可以猜测在.init/.init_array处经过了加密处理,不需要仔细分析这些加密算法,在JNI_Onload处下断,果然在内存中解密,进行Dump分析,经过简单的修复以后在IDA可以看到如下:
接下来分析这个JNI_Onload函数,看到sub_76CC这个函数的主要作用是获取设备信息以及其他信息等,继续往下分析。
接着继续_Z11Qlo4ud9Qs5GPhi这个函数,发现这个函数最后走到这个_Z6turninv函数里面。这个函数仔细的去分析会发现进入一个大的循环结构。
会发现到了上面BLX R3处,每次R3的地址为函数Qde2uk9QU5G的偏移地址,F7进去也没有发现什么重要的有用信息。在这块浪费的好多时间,以为是做了什么虚拟处理,不同的偏移地址对应不同的Handler,最后在这块把R0的值改掉,继续往下分析。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-5-22 16:31
被不知世事编辑
,原因: