so 混淆的一种新方式-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
不吃早饭雪币： 29 活跃值： (5120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2021-8-18 15:31 2 楼 0 https://github.com/amimo/goron/blob/llvm-10.x/llvm/lib/Transforms/Obfuscation/IndirectCall.cpp
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-19 10:13 3 楼 0 不吃早饭 https://github.com/amimo/goron/blob/llvm-10.x/llvm/lib/Transforms/Obfuscation/IndirectCall.cpp 谢谢，这种应该还没有人提供现成脚本来破解吧
boursonjane 雪币： 2428 活跃值： (2864) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 182 粉丝 13 关注私信	boursonjane 2021-8-19 10:36 4 楼 0 父类对象调用基类成员函数吧, 正常的信息损失, 没特意混淆.
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-19 14:07 5 楼 0 boursonjane 父类对象调用基类成员函数吧, 正常的信息损失, 没特意混淆. 不是的，很多不相关的类都是这样调用的，出现次数太多了肯定是混淆了，而且样本里面还有很多其他混淆方式，不能阻止分析，但是确实效率低了最后于 2021-8-19 14:07 被hackdaliu编辑，原因：
小调调雪币： 2945 活跃值： (2592) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 370 粉丝 12 关注私信	小调调 2021-8-19 14:31 6 楼 0 这种不是类似，C++类和类成员方法，成员变量嘛
不吃早饭雪币： 29 活跃值： (5120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2021-8-19 16:06 7 楼 0 之前没仔细看，楼主你这明显是c++虚函数啊，a1获取虚函数表，(__int64 (__fastcall *)(_QWORD ))(a1 + 0x60LL))获取偏移为0x60的虚函数指针，(__int64 (__fastcall *)(_QWORD ))(*a1 + 0x60LL))(a1)，传入a1作为this指针，完美契合虚函数调用特征。真正的混淆应该是这样的
wjhwjhn 雪币： 5695 活跃值： (2515) 能力值： ( LV3，RANK：31 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjhwjhn 2021-8-19 20:29 8 楼 0 把a1类型改成JNIEnv *试试
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-20 16:13 9 楼 0 确实是虚函数，草率了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
不吃早饭雪币： 29 活跃值： (5120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2021-8-18 15:31 2 楼 0 https://github.com/amimo/goron/blob/llvm-10.x/llvm/lib/Transforms/Obfuscation/IndirectCall.cpp
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-19 10:13 3 楼 0 不吃早饭 https://github.com/amimo/goron/blob/llvm-10.x/llvm/lib/Transforms/Obfuscation/IndirectCall.cpp 谢谢，这种应该还没有人提供现成脚本来破解吧
boursonjane 雪币： 2428 活跃值： (2864) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 182 粉丝 13 关注私信	boursonjane 2021-8-19 10:36 4 楼 0 父类对象调用基类成员函数吧, 正常的信息损失, 没特意混淆.
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-19 14:07 5 楼 0 boursonjane 父类对象调用基类成员函数吧, 正常的信息损失, 没特意混淆. 不是的，很多不相关的类都是这样调用的，出现次数太多了肯定是混淆了，而且样本里面还有很多其他混淆方式，不能阻止分析，但是确实效率低了最后于 2021-8-19 14:07 被hackdaliu编辑，原因：
小调调雪币： 2945 活跃值： (2592) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 370 粉丝 12 关注私信	小调调 2021-8-19 14:31 6 楼 0 这种不是类似，C++类和类成员方法，成员变量嘛
不吃早饭雪币： 29 活跃值： (5120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 184 粉丝 19 关注私信	不吃早饭 2021-8-19 16:06 7 楼 0 之前没仔细看，楼主你这明显是c++虚函数啊，a1获取虚函数表，(__int64 (__fastcall *)(_QWORD ))(a1 + 0x60LL))获取偏移为0x60的虚函数指针，(__int64 (__fastcall *)(_QWORD ))(*a1 + 0x60LL))(a1)，传入a1作为this指针，完美契合虚函数调用特征。真正的混淆应该是这样的
wjhwjhn 雪币： 5695 活跃值： (2515) 能力值： ( LV3，RANK：31 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjhwjhn 2021-8-19 20:29 8 楼 0 把a1类型改成JNIEnv *试试
hackdaliu 雪币： 1461 活跃值： (1367) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 32 粉丝 6 关注私信	hackdaliu 1 2021-8-20 16:13 9 楼 0 确实是虚函数，草率了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复