首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
未解决 逆向思路求助 50.00雪花
发表于: 2019-9-21 22:23 2842

未解决 逆向思路求助 50.00雪花

mb_uivlvwkv 活跃值
2019-9-21 22:23
2842
在分析某个app,知道会在sdcard上生成一个文件,但是不知道哪个so的哪个方法生成的,这时我知道文件名,文件路径,我要看该文件怎么生成的,这时候应该怎么办?

[课程]FART 脱壳王!加量不加价!FART作者讲授!

最后于 2020-3-9 17:06 被mb_uivlvwkv编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (7)
猫仙大人
雪    币: 47
活跃值: (197)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
只考虑文件是So 生成的情况
最直接的方法是Hook fopen 函数
2019-9-22 02:07
0
mb_uivlvwkv
雪    币: 300
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
猫仙大人 只考虑文件是So 生成的情况 最直接的方法是Hook fopen 函数
我用frida hook了,但是也只能打印一下参数信息,有没有办法跟踪到调用fopen关键代码的位置
2019-9-22 10:38
0
koflfy
雪    币: 102
活跃值: (1845)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
hook fopen,当参数是你要的那个文件名后,打印调用栈。
2019-9-22 10:55
0
mb_uivlvwkv
雪    币: 300
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
koflfy hook fopen,当参数是你要的那个文件名后,打印调用栈。
这种方法我想到了,具体用那种hook呢(我用过ADBI,在用到CallStack.h类时,ndk编译不过去,找不到'utils/CallStack.h'头文件),native打印调用堆栈太难了,可以说一个你使用成功的例子吗
2019-9-22 11:02
0
无边
雪    币: 9479
活跃值: (757)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
mb_uivlvwkv 我用frida hook了,但是也只能打印一下参数信息,有没有办法跟踪到调用fopen关键代码的位置
这个最好用IDA来跟。
2019-9-22 12:09
0
saidyou
雪    币: 466
活跃值: (1172)
能力值: ( LV9,RANK:153 )
在线值:
发帖
回帖
粉丝
私信
7
如果是释放代码到内存,就不能hook 查回调,没意义
2019-9-24 11:15
0
supperlitt
雪    币: 1366
活跃值: (5584)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
8
hook android代码赛,android可以hook,native方法的before,after的,这样写代码,检查文件是否存在。就ok。
2019-10-19 09:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//