-
-
[原创]某App去混淆
-
发表于: 2022-5-16 21:00
-
前言
做为一个身经百战的iOS逆向,如果你没有遇到过混淆,说明你没有深入竞品的核心业务。大厂的核心业务多少都有点防护,是保护自己的一种方式。今天咱分析某盟,只做学习使用。
混淆方式
常见的混淆方式:bcf(虚假块), fla(控制流展开), sub(指令膨胀), Split(基本块分割),这是张总ollvm中的功能,很不错,很佩服能自己写PASS的大佬。但是,也有一些厂商会利用IDA解析的bug去做一些防护:比如故意制造堆栈不平衡,不能F5,或者函数内利用寄存器跳转BR X12,在或者插入一下垃圾指令,导致IDA解析不出来等。
你遇到过吗?
1.搞定他
-
1.MonkeyDev下断点
在运行时,我们是可以知道x12寄存器的值,是一个地址。
- 2.frida-stalker的使用
frida-stalker我主要用来采集指令的,在运行中,记录真实执行的指令,有了真实的执行指令,在配合IDAPython,在IDA上可以写很多修复脚本。
编写脚本,采集指令,生成指令json文件
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
最后于 2022-6-13 09:42
被chenxia0编辑
,原因: 忘记写标题
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
