-
-
[原创]初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
-
发表于: 2020-7-13 12:03
-
这是3W班5月的习题。题目要求是 e函数需要逆向出源码。yang老师本意应该是训练下trace的汇编代码阅读能力,但是由于ollvm混淆开的比较低,所以IDA的反汇编代码也是可以阅读,当时偷懒就没有专心去阅读trace了。
通过本题初次尝试了还原so文件代码,在没有开太多混淆的情况下还是可以使用IDA配合frida还原,像之前3月题目混淆开的高一点这种方式就要搞死掉了。
还原代码
解题思路
本来想使用IDA Trace,拿到日志后,没有直接定位到计算的地方,所以整个还原是使用IDA动态调试和Frida来完成的。
步骤1:查看函数e
函数e中直接使用了sub_1500C,传入v42就是bytes数组,v41就是我们返回的秘钥
使用Frida可验证,这里返回值存储的位置需要注意。
步骤2:查看sub_1500C
sub_1500C中计算了加密字符串长度,然后引入了新字符串www.pediy.com&kanxue。之后直接调用sub_13CE4计算加密。
参数列表
x0 字符串pediy_imyang_abcdefghij
x1 字符串长度
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-7-13 13:33
被无造编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
frida要先hook,hook后就不占坑了,后面再ida持续占坑 |
|
|
如果frida先hook,然后再利用ida trace会发现原来的地址偏移全部都改变了(frida hook打印的地址不能能用了,不知道为啥)。。。。 |
