[求助]删掉了-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 13 关注私信	白菜大哥 2019-12-14 19:42 2 楼 0 没辣么复杂，完全可以加载malloc以后的解密dll，加载完以后memset成0，然后free。这样你搜索不到但是可以正常执行。
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-14 19:59 3 楼 0 白菜大哥没辣么复杂，完全可以加载malloc以后的解密dll，加载完以后memset成0，然后free。这样你搜索不到但是可以正常执行。那么具体怎么样可以提取他正常格式的DLL呢，我想我能用的办法都弄上了（老哥指点一下）
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-15 00:17 4 楼 0
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-20 08:37 5 楼 0 日常顶贴。。。。
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 2019-12-20 14:09 6 楼 0 我很好奇，按理说安卓和windows比起来，即没那么多乱七八糟的壳，又没各种驱动保护，为什么WG大神要想方设法修改静态文件而不在程序动态运行的时候做更改呢？
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-21 09:09 7 楼 0 mistyes 我很好奇，按理说安卓和windows比起来，即没那么多乱七八糟的壳，又没各种驱动保护，为什么WG大神要想方设法修改静态文件而不在程序动态运行的时候做更改呢？ [em_31] 兄弟，安卓端的也有乱七八糟的壳，一般简单就是字节流混淆可以dump脱壳，tx是代码字符串混淆。某易抽取代码指令，本帖说到的壳是某易的，反正我去不掉他的壳。程序运行时候做更改也需要hook mono然后去修改dll反射。关键他反检测呀.....
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 2019-12-21 16:04 8 楼 0 安卓好像最多的是针对反编译反dump的处理，针对ptrace调试的手段好像并不常见。不管怎么加密运行时加载到内存中执行的指令总是正常的，直接修改这些汇编指令不是容易得多吗？还不需要过签名和文件验证。唯一不好办的是ptrace需要root权限
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-22 19:43 9 楼 0 mistyes 安卓好像最多的是针对反编译反dump的处理，针对ptrace调试的手段好像并不常见。不管怎么加密运行时加载到内存中执行的指令总是正常的，直接修改这些汇编指令不是容易得多吗？还不需要过签名和文件验证。唯 ... 反dump很好解决，，最怕就是dump出来还是加密状态
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 13 关注私信	白菜大哥 2019-12-14 19:42 2 楼 0 没辣么复杂，完全可以加载malloc以后的解密dll，加载完以后memset成0，然后free。这样你搜索不到但是可以正常执行。
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-14 19:59 3 楼 0 白菜大哥没辣么复杂，完全可以加载malloc以后的解密dll，加载完以后memset成0，然后free。这样你搜索不到但是可以正常执行。那么具体怎么样可以提取他正常格式的DLL呢，我想我能用的办法都弄上了（老哥指点一下）
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-15 00:17 4 楼 0
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-20 08:37 5 楼 0 日常顶贴。。。。
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 2019-12-20 14:09 6 楼 0 我很好奇，按理说安卓和windows比起来，即没那么多乱七八糟的壳，又没各种驱动保护，为什么WG大神要想方设法修改静态文件而不在程序动态运行的时候做更改呢？
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-21 09:09 7 楼 0 mistyes 我很好奇，按理说安卓和windows比起来，即没那么多乱七八糟的壳，又没各种驱动保护，为什么WG大神要想方设法修改静态文件而不在程序动态运行的时候做更改呢？ [em_31] 兄弟，安卓端的也有乱七八糟的壳，一般简单就是字节流混淆可以dump脱壳，tx是代码字符串混淆。某易抽取代码指令，本帖说到的壳是某易的，反正我去不掉他的壳。程序运行时候做更改也需要hook mono然后去修改dll反射。关键他反检测呀.....
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 2019-12-21 16:04 8 楼 0 安卓好像最多的是针对反编译反dump的处理，针对ptrace调试的手段好像并不常见。不管怎么加密运行时加载到内存中执行的指令总是正常的，直接修改这些汇编指令不是容易得多吗？还不需要过签名和文件验证。唯一不好办的是ptrace需要root权限
酱油啊啊啊啊雪币： 237 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 1 关注私信	酱油啊啊啊啊 2019-12-22 19:43 9 楼 0 mistyes 安卓好像最多的是针对反编译反dump的处理，针对ptrace调试的手段好像并不常见。不管怎么加密运行时加载到内存中执行的指令总是正常的，直接修改这些汇编指令不是容易得多吗？还不需要过签名和文件验证。唯 ... 反dump很好解决，，最怕就是dump出来还是加密状态
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复