首页
社区
课程
招聘
[分享]逆向X加密vmp时遇到个比较有趣的反调试
发表于: 2021-6-14 18:34 6569

[分享]逆向X加密vmp时遇到个比较有趣的反调试

2021-6-14 18:34
6569
1
前段时间花了两周多时间逆了个x加密vmp加固的app。

vmp加固的方法:

1
看到这里就想到了X梆多年前定制版的vmp加固(现X梆已不用native形式,改成调用cI、cB、cL...动态调用代替动态注册native),表面看起来也是把方法改成native,初始化类后动态注册每个vmp加固的native方法,分析so后发现这vmp比X梆的vmp难,难在他把dex的opcode、register... 等一条条指令单独编程加密, 200多条指令,分别单独加密,这脱壳起来比较费劲,吐血...,好在这个app只需还原了90多条指令就脱壳完成了。

脱掉vmp后:

1
2
3
在脱壳过程中遇到个比较有趣的事情,只要我先运行IDA android_server再启动app就会报错,本来以为是他在so中调用了netstat检测了端口,hook进去确定没有调用,那就有可能是socket localhost 检测:23946端口,定位后确实是so中socket检测了23946端口,修改后本来以为万事大吉,打包运行,报错....
 
分析了一天so都没发现so有还有检测23946端口的,那就从他报错的地址下断点,往前推,最后发现是在java层也socket检测了23946,无语...

有时候搞多了安全公司的反调试总以为加固的app反调试很难搞定,忽略了一些简单的问题。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 16
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
能提供一下样本吗
2021-6-15 00:12
0
雪    币: 6856
活跃值: (3083)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
应该是ijm企业版过的买贵州茅台系列的样本。
2021-6-15 01:24
0
游客
登录 | 注册 方可回帖
返回
//