[原创]ollvm算法还原案例分享-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
Youlor 雪币： 2971 活跃值： (117422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 61 关注私信	Youlor 2 楼沙发! 感谢分享~ 2020-7-13 15:03 0
咸鱼炒白菜雪币： 1392 活跃值： (1467) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 16 粉丝 58 关注私信	咸鱼炒白菜 3 楼 Youlor 沙发! 感谢分享~ 脱壳的大佬 2020-7-13 15:04 0
0x指纹雪币： 4883 活跃值： (18890) 能力值： ( LV13，RANK：317 ) 在线值：发帖 12 回帖 220 粉丝 581 关注私信	0x指纹 6 4 楼感谢分享~ 2020-7-14 16:15 0
梨子雪币： 739 活跃值： (1865) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 157 粉丝 11 关注私信	梨子 5 楼菜菜棒棒棒 2020-7-15 13:25 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 6 楼大佬，有个问题请教一下,第三步的时候，查找sub_184EC引用，找到函数sub_13CE4，单纯知道sub_184EC调用了三次，怎么确定第三次的调用位置呢？ 2020-7-17 11:13 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 7 楼菜年richor 大佬，有个问题请教一下,第三步的时候，查找sub_184EC引用，找到函数sub_13CE4，单纯知道sub_184EC调用了三次，怎么确定第三次的调用位置呢？用frida打堆栈 console.log("Backtracer" + ' called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE) .map(DebugSymbol.fromAddress).join('\n') + '\n'); 2020-7-17 14:26 0
zpazz 雪币： 199 活跃值： (926) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zpazz 8 楼梨子菜菜棒棒棒[em_86] 捕获梨子酱 (๑•̀ㅂ•́) 2020-7-17 14:39 0
mb_jgzwnuxx 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_jgzwnuxx 9 楼感谢分享 2020-7-17 14:47 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 10 楼谢谢大佬 2020-7-17 15:19 0
Frank888 雪币： 118 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Frank888 11 楼感谢分享。实测有用 2020-7-18 16:41 0
看雪高研雪币： 196 活跃值： (5906) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 12 楼分析被ollvm混淆的算法思路就是找到参数被加密的过程以及结果的生成过程，frida的Thread.backtrace得到调用栈可以快速分析出参数的加密过程，再结合ida trace可以分析出参数被加密的具体算法。trace日志太大的时候，参数加密过程比较多，可以从trace日志中找返回结果的生成过程，来定位到具体算法的地址。 2020-7-22 17:16 2
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
Youlor 雪币： 2971 活跃值： (117422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 61 关注私信	Youlor 2 楼沙发! 感谢分享~ 2020-7-13 15:03 0
咸鱼炒白菜雪币： 1392 活跃值： (1467) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 16 粉丝 58 关注私信	咸鱼炒白菜 3 楼 Youlor 沙发! 感谢分享~ 脱壳的大佬 2020-7-13 15:04 0
0x指纹雪币： 4883 活跃值： (18890) 能力值： ( LV13，RANK：317 ) 在线值：发帖 12 回帖 220 粉丝 581 关注私信	0x指纹 6 4 楼感谢分享~ 2020-7-14 16:15 0
梨子雪币： 739 活跃值： (1865) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 157 粉丝 11 关注私信	梨子 5 楼菜菜棒棒棒 2020-7-15 13:25 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 6 楼大佬，有个问题请教一下,第三步的时候，查找sub_184EC引用，找到函数sub_13CE4，单纯知道sub_184EC调用了三次，怎么确定第三次的调用位置呢？ 2020-7-17 11:13 0
白小菜雪币： 519 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 29 粉丝 2 关注私信	白小菜 1 7 楼菜年richor 大佬，有个问题请教一下,第三步的时候，查找sub_184EC引用，找到函数sub_13CE4，单纯知道sub_184EC调用了三次，怎么确定第三次的调用位置呢？用frida打堆栈 console.log("Backtracer" + ' called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE) .map(DebugSymbol.fromAddress).join('\n') + '\n'); 2020-7-17 14:26 0
zpazz 雪币： 199 活跃值： (926) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zpazz 8 楼梨子菜菜棒棒棒[em_86] 捕获梨子酱 (๑•̀ㅂ•́) 2020-7-17 14:39 0
mb_jgzwnuxx 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_jgzwnuxx 9 楼感谢分享 2020-7-17 14:47 0
richor 雪币： 1640 活跃值： (1719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	richor 10 楼谢谢大佬 2020-7-17 15:19 0
Frank888 雪币： 118 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Frank888 11 楼感谢分享。实测有用 2020-7-18 16:41 0
看雪高研雪币： 196 活跃值： (5906) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 91 粉丝 197 关注私信	看雪高研 12 楼分析被ollvm混淆的算法思路就是找到参数被加密的过程以及结果的生成过程，frida的Thread.backtrace得到调用栈可以快速分析出参数的加密过程，再结合ida trace可以分析出参数被加密的具体算法。trace日志太大的时候，参数加密过程比较多，可以从trace日志中找返回结果的生成过程，来定位到具体算法的地址。 2020-7-22 17:16 2
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复