[原创]360加固保分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]360加固保分析

2020-6-11 20:08 38175

[原创]360加固保分析

[軍]

2020-6-11 20:08

38175

查看主题内容

收藏・92

点赞・21

打赏

最新回复 (47) ◀ 1 2
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 2020-8-5 18:41 26 楼 0 请教一下，执行sub_1C51E，解析参数，分析类名和包名，包名和类名通过那个寄存器显示出来的，怎么看到大佬指出来的onCreate
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 2020-8-9 16:30 27 楼 0 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2020-8-9 20:26 28 楼 0 mb_evshufvg 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢需要分析出指令映射表
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 605 粉丝 2 关注私信	无边 2021-1-9 06:36 29 楼 0 请教一下，BF75C是如何找到的，事实上这个断点断不下来。
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-3 04:11 30 楼 0 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-4 10:09 31 楼 0 Dyingchen 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试观察一下报信好的时候是从哪个so开始报的，排除一下是不是信号反调试
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-4 11:31 32 楼 0 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiagu_a64.so中的jnionload以及init array处下的断点皆未触发app就已退出，不过我貌似找到了相关的代码，位于sub_39AC中，其中出现了一些信号相关的字符串，请问楼主有没有什么好的办法处理信号相关的反调试呢最后于 2022-1-4 12:21 被Dyingchen编辑，原因：
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-4 14:59 33 楼 0 Dyingchen 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiag ... android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-4 16:16 34 楼 0 [軍] android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以及jni onload处的断点，可是他直接断在libc中，然后触发大量信号。这些信号选择不发送到app中的话会使得app能够正常运行，但是IDA调试器会退出，通过回退栈来看，也没有发现运行到libjiagu_a64.so才发生退出，而是在系统库，比如libc中就出现问题了，暂且不清楚原因。使用的样本也是楼主你提供的样本
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-5 10:43 35 楼 0 Dyingchen 进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以 ... 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-6 01:10 36 楼 0 [軍] 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。根据我的调试结果来看，并非我的问题，我强制将app以32位启动，调试的流程和楼主你的是一样的，没有任何问题，但是64位启动的话就会出现之前我说的问题，百思不得其解其中的原理，可能是64位app添加了一些新的机制
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 2022-2-8 19:49 37 楼 0 谢谢老板的红包
你瞒我瞒雪币： 1726 活跃值： (8681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	你瞒我瞒 2022-2-16 14:43 38 楼 0 那是不是意味着，现在免费的360加固可以过滤掉大部分小白了
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 2022-6-13 09:49 39 楼 0 2022年5月份的怎么搞
Crack999 雪币： 71 能力值： ( LV1，RANK：0 ) 在线值：发帖 14 回帖 14 粉丝 1 关注私信	Crack999 2022-6-19 05:08 40 楼 0 楼主，可以分析一下我的样本吗
夺命黑裤衩雪币： 25 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 5 关注私信	夺命黑裤衩 2023-3-8 14:47 41 楼 0 遇到了一些麻烦，有好心大佬帮忙下么，QQ785917397
夺命黑裤衩雪币： 25 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 5 关注私信	夺命黑裤衩 2023-3-9 10:28 42 楼 0 “修复elf_header”?是不是把前5个字节改成".ELF."就行了？
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-3-11 20:16 43 楼 0 精彩
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2023-4-26 17:29 44 楼 0 楼主 dump下来的so对section_header_table进行修复最后有几个段(.init_array .fini_array .got .data .bss)的内容和地址对不上啊,修复的地址和真实地址差了0x5550个字节
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-9-7 21:22 45 楼 0 请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条ADDEQ SP,SP #0xC的地方就莫名退出了恕我愚昧想不通
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-9-7 22:37 46 楼 0 万里星河请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条 ... 逐条指令执行的
Melanthe 雪币： 107 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	Melanthe 2023-9-11 02:42 47 楼 0 万里星河逐条指令执行的可能哪里反调没过去吧
method 雪币： 1948 活跃值： (3653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 2 关注私信	method 2023-9-27 10:57 48 楼 0 jnionload 都被vm了大佬你怎么调过去的不晕吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[軍]

发帖

回帖

RANK

关注

私信

他的文章

乐固分析

记录一下nexus5的刷机历程

[原创]dy协议字段分析

[原创]360加固保分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 2020-8-5 18:41 26 楼 0 请教一下，执行sub_1C51E，解析参数，分析类名和包名，包名和类名通过那个寄存器显示出来的，怎么看到大佬指出来的onCreate
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 2020-8-9 16:30 27 楼 0 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2020-8-9 20:26 28 楼 0 mb_evshufvg 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢需要分析出指令映射表
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 605 粉丝 2 关注私信	无边 2021-1-9 06:36 29 楼 0 请教一下，BF75C是如何找到的，事实上这个断点断不下来。
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-3 04:11 30 楼 0 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-4 10:09 31 楼 0 Dyingchen 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试观察一下报信好的时候是从哪个so开始报的，排除一下是不是信号反调试
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-4 11:31 32 楼 0 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiagu_a64.so中的jnionload以及init array处下的断点皆未触发app就已退出，不过我貌似找到了相关的代码，位于sub_39AC中，其中出现了一些信号相关的字符串，请问楼主有没有什么好的办法处理信号相关的反调试呢最后于 2022-1-4 12:21 被Dyingchen编辑，原因：
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-4 14:59 33 楼 0 Dyingchen 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiag ... android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-4 16:16 34 楼 0 [軍] android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以及jni onload处的断点，可是他直接断在libc中，然后触发大量信号。这些信号选择不发送到app中的话会使得app能够正常运行，但是IDA调试器会退出，通过回退栈来看，也没有发现运行到libjiagu_a64.so才发生退出，而是在系统库，比如libc中就出现问题了，暂且不清楚原因。使用的样本也是楼主你提供的样本
[軍] 雪币： 1823 活跃值： (5367) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 41 粉丝 79 关注私信	[軍] 1 2022-1-5 10:43 35 楼 0 Dyingchen 进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以 ... 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2022-1-6 01:10 36 楼 0 [軍] 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。根据我的调试结果来看，并非我的问题，我强制将app以32位启动，调试的流程和楼主你的是一样的，没有任何问题，但是64位启动的话就会出现之前我说的问题，百思不得其解其中的原理，可能是64位app添加了一些新的机制
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 2022-2-8 19:49 37 楼 0 谢谢老板的红包
你瞒我瞒雪币： 1726 活跃值： (8681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	你瞒我瞒 2022-2-16 14:43 38 楼 0 那是不是意味着，现在免费的360加固可以过滤掉大部分小白了
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 2022-6-13 09:49 39 楼 0 2022年5月份的怎么搞
Crack999 雪币： 71 能力值： ( LV1，RANK：0 ) 在线值：发帖 14 回帖 14 粉丝 1 关注私信	Crack999 2022-6-19 05:08 40 楼 0 楼主，可以分析一下我的样本吗
夺命黑裤衩雪币： 25 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 5 关注私信	夺命黑裤衩 2023-3-8 14:47 41 楼 0 遇到了一些麻烦，有好心大佬帮忙下么，QQ785917397
夺命黑裤衩雪币： 25 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 5 关注私信	夺命黑裤衩 2023-3-9 10:28 42 楼 0 “修复elf_header”?是不是把前5个字节改成".ELF."就行了？
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-3-11 20:16 43 楼 0 精彩
Dyingchen 雪币： 2328 活跃值： (4369) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 56 粉丝 22 关注私信	Dyingchen 2023-4-26 17:29 44 楼 0 楼主 dump下来的so对section_header_table进行修复最后有几个段(.init_array .fini_array .got .data .bss)的内容和地址对不上啊,修复的地址和真实地址差了0x5550个字节
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-9-7 21:22 45 楼 0 请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条ADDEQ SP,SP #0xC的地方就莫名退出了恕我愚昧想不通
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-9-7 22:37 46 楼 0 万里星河请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条 ... 逐条指令执行的
Melanthe 雪币： 107 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	Melanthe 2023-9-11 02:42 47 楼 0 万里星河逐条指令执行的可能哪里反调没过去吧
method 雪币： 1948 活跃值： (3653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 2 关注私信	method 2023-9-27 10:57 48 楼 0 jnionload 都被vm了大佬你怎么调过去的不晕吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复