[原创]360加固保分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]360加固保分析

发表于: 2020-6-11 20:08 39662

[原创]360加固保分析

[軍]

2020-6-11 20:08

39662

查看主题内容

收藏・95

免费・22

支持

最新回复 (47) ◀ 1 2
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 26 楼请教一下，执行sub_1C51E，解析参数，分析类名和包名，包名和类名通过那个寄存器显示出来的，怎么看到大佬指出来的onCreate 2020-8-5 18:41 0
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 27 楼跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢 2020-8-9 16:30 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 28 楼 mb_evshufvg 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢需要分析出指令映射表 2020-8-9 20:26 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 29 楼请教一下，BF75C是如何找到的，事实上这个断点断不下来。 2021-1-9 06:36 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 30 楼楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试 2022-1-3 04:11 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 31 楼 Dyingchen 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试观察一下报信好的时候是从哪个so开始报的，排除一下是不是信号反调试 2022-1-4 10:09 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 32 楼信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiagu_a64.so中的jnionload以及init array处下的断点皆未触发app就已退出，不过我貌似找到了相关的代码，位于sub_39AC中，其中出现了一些信号相关的字符串，请问楼主有没有什么好的办法处理信号相关的反调试呢最后于 2022-1-4 12:21 被Dyingchen编辑，原因： 2022-1-4 11:31 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 33 楼 Dyingchen 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiag ... android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试 2022-1-4 14:59 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 34 楼 [軍] android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以及jni onload处的断点，可是他直接断在libc中，然后触发大量信号。这些信号选择不发送到app中的话会使得app能够正常运行，但是IDA调试器会退出，通过回退栈来看，也没有发现运行到libjiagu_a64.so才发生退出，而是在系统库，比如libc中就出现问题了，暂且不清楚原因。使用的样本也是楼主你提供的样本 2022-1-4 16:16 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 35 楼 Dyingchen 进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以 ... 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。 2022-1-5 10:43 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 36 楼 [軍] 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。根据我的调试结果来看，并非我的问题，我强制将app以32位启动，调试的流程和楼主你的是一样的，没有任何问题，但是64位启动的话就会出现之前我说的问题，百思不得其解其中的原理，可能是64位app添加了一些新的机制 2022-1-6 01:10 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 37 楼谢谢老板的红包 2022-2-8 19:49 0
你瞒我瞒雪币： 2345 活跃值： (10422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 38 楼那是不是意味着，现在免费的360加固可以过滤掉大部分小白了 2022-2-16 14:43 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 39 楼 2022年5月份的怎么搞 2022-6-13 09:49 0
Crack999 雪币： 71 能力值： ( LV1，RANK：0 ) 在线值：发帖 14 回帖 27 粉丝 1 关注私信	Crack999 40 楼楼主，可以分析一下我的样本吗 2022-6-19 05:08 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 41 楼遇到了一些麻烦，有好心大佬帮忙下么，QQ785917397 2023-3-8 14:47 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 42 楼 “修复elf_header”?是不是把前5个字节改成".ELF."就行了？ 2023-3-9 10:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 43 楼精彩 2023-3-11 20:16 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 44 楼楼主 dump下来的so对section_header_table进行修复最后有几个段(.init_array .fini_array .got .data .bss)的内容和地址对不上啊,修复的地址和真实地址差了0x5550个字节 2023-4-26 17:29 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 45 楼请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条ADDEQ SP,SP #0xC的地方就莫名退出了恕我愚昧想不通 2023-9-7 21:22 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 46 楼万里星河请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条 ... 逐条指令执行的 2023-9-7 22:37 0
Melanthe 雪币： 107 活跃值： (456) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	Melanthe 47 楼万里星河逐条指令执行的可能哪里反调没过去吧 2023-9-11 02:42 0
method 雪币： 2552 活跃值： (4433) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 96 粉丝 13 关注私信	method 48 楼 jnionload 都被vm了大佬你怎么调过去的不晕吗 2023-9-27 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[軍]

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 26 楼请教一下，执行sub_1C51E，解析参数，分析类名和包名，包名和类名通过那个寄存器显示出来的，怎么看到大佬指出来的onCreate 2020-8-5 18:41 0
mb_evshufvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_evshufvg 27 楼跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢 2020-8-9 16:30 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 28 楼 mb_evshufvg 跟大佬请教一下，分析sub_37652函数，此处的描述信息为的内存窗口的地址是不是R9寄存器的地址，解密出来的opcode无法对应Dalvik 虚拟机操作码，盼得到答复，谢谢需要分析出指令映射表 2020-8-9 20:26 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 29 楼请教一下，BF75C是如何找到的，事实上这个断点断不下来。 2021-1-9 06:36 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 30 楼楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试 2022-1-3 04:11 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 31 楼 Dyingchen 楼主我想问一下在64位环境下启动app也是加载的libjiagu.so吗，我在尝试调试libjiagu_a64.so的时候遇到了大量信号，导致无法正常进行调试观察一下报信好的时候是从哪个so开始报的，排除一下是不是信号反调试 2022-1-4 10:09 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 32 楼信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiagu_a64.so中的jnionload以及init array处下的断点皆未触发app就已退出，不过我貌似找到了相关的代码，位于sub_39AC中，其中出现了一些信号相关的字符串，请问楼主有没有什么好的办法处理信号相关的反调试呢最后于 2022-1-4 12:21 被Dyingchen编辑，原因： 2022-1-4 11:31 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 33 楼 Dyingchen 信号passtoapp之后断在libc处，很难判断反调试在哪个so里面，不过根据此时加载的so来看，64位加载的是libjiagu_a64.so，通过忽略信号，全部交由app处理导致我在libjiag ... android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试 2022-1-4 14:59 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 34 楼 [軍] android系统中有一些信号api，可以断一下能不能断到，或者回朔一下试试进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以及jni onload处的断点，可是他直接断在libc中，然后触发大量信号。这些信号选择不发送到app中的话会使得app能够正常运行，但是IDA调试器会退出，通过回退栈来看，也没有发现运行到libjiagu_a64.so才发生退出，而是在系统库，比如libc中就出现问题了，暂且不清楚原因。使用的样本也是楼主你提供的样本 2022-1-4 16:16 0
[軍] 雪币： 440 活跃值： (5977) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 45 粉丝 82 关注私信	[軍] 1 35 楼 Dyingchen 进行了多次调试，估计是有信号反调试，但是我比较疑惑的问题是我在init array以及jni onload处的断点皆无法触发的原因，按理说，这个so被载入，再有反调试也应该先触发init array以 ... 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。 2022-1-5 10:43 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 36 楼 [軍] 根据你的问题描述，你这个应该是外部因素，不是内部因素，比如 ida、调试机器问题。当然，样本也可能有问题，毕竟我没有调试过64位，只是调试了32位。根据我的调试结果来看，并非我的问题，我强制将app以32位启动，调试的流程和楼主你的是一样的，没有任何问题，但是64位启动的话就会出现之前我说的问题，百思不得其解其中的原理，可能是64位app添加了一些新的机制 2022-1-6 01:10 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 37 楼谢谢老板的红包 2022-2-8 19:49 0
你瞒我瞒雪币： 2345 活跃值： (10422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 38 楼那是不是意味着，现在免费的360加固可以过滤掉大部分小白了 2022-2-16 14:43 0
mb_vjhvccto 雪币： 2415 活跃值： (1246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	mb_vjhvccto 39 楼 2022年5月份的怎么搞 2022-6-13 09:49 0
Crack999 雪币： 71 能力值： ( LV1，RANK：0 ) 在线值：发帖 14 回帖 27 粉丝 1 关注私信	Crack999 40 楼楼主，可以分析一下我的样本吗 2022-6-19 05:08 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 41 楼遇到了一些麻烦，有好心大佬帮忙下么，QQ785917397 2023-3-8 14:47 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 42 楼 “修复elf_header”?是不是把前5个字节改成".ELF."就行了？ 2023-3-9 10:28 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 43 楼精彩 2023-3-11 20:16 0
Dyingchen 雪币： 3165 活跃值： (5146) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 26 关注私信	Dyingchen 44 楼楼主 dump下来的so对section_header_table进行修复最后有几个段(.init_array .fini_array .got .data .bss)的内容和地址对不上啊,修复的地址和真实地址差了0x5550个字节 2023-4-26 17:29 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 45 楼请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条ADDEQ SP,SP #0xC的地方就莫名退出了恕我愚昧想不通 2023-9-7 21:22 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 46 楼万里星河请教一下为啥我的JNI_Onload一进去最后mov pc,r12会进入一个debug59的segment 然后会进入libart.so里的包含 GetEnv JavaVMPPvi的函数在一条 ... 逐条指令执行的 2023-9-7 22:37 0
Melanthe 雪币： 107 活跃值： (456) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	Melanthe 47 楼万里星河逐条指令执行的可能哪里反调没过去吧 2023-9-11 02:42 0
method 雪币： 2552 活跃值： (4433) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 96 粉丝 13 关注私信	method 48 楼 jnionload 都被vm了大佬你怎么调过去的不晕吗 2023-9-27 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复