首页
社区
课程
招聘
[原创]某App去混淆
发表于: 2022-5-16 21:00 48210

[原创]某App去混淆

2022-5-16 21:00
48210

做为一个身经百战的iOS逆向,如果你没有遇到过混淆,说明你没有深入竞品的核心业务。大厂的核心业务多少都有点防护,是保护自己的一种方式。今天咱分析某盟,只做学习使用。

常见的混淆方式:bcf(虚假块), fla(控制流展开), sub(指令膨胀), Split(基本块分割),这是张总ollvm中的功能,很不错,很佩服能自己写PASS的大佬。但是,也有一些厂商会利用IDA解析的bug去做一些防护:比如故意制造堆栈不平衡,不能F5,或者函数内利用寄存器跳转BR X12,在或者插入一下垃圾指令,导致IDA解析不出来等。

1.MonkeyDev下断点

在运行时,我们是可以知道x12寄存器的值,是一个地址。

frida-stalker我主要用来采集指令的,在运行中,记录真实执行的指令,有了真实的执行指令,在配合IDAPython,在IDA上可以写很多修复脚本。

编写脚本,采集指令,生成指令json文件

3.通过2采集到指令集合,在IDA中执行修复脚本

效果展示

到目前为止,一个代码还原结束。

 
 
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-6-13 09:42 被chenxia0编辑 ,原因: 忘记写标题
收藏
免费 11
支持
分享
最新回复 (14)
雪    币: 573
活跃值: (1019)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2

3.附件

联系作者索取


怎么联系,没个联系方式的

2022-5-17 11:10
0
雪    币: 860
活跃值: (4145)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
怎么实现的哇
2022-6-8 09:41
0
雪    币:
活跃值: (141)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
附件有人获取到么
2022-6-15 14:06
0
雪    币: 2686
活跃值: (1020)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
给大佬点赞
2022-6-24 10:35
0
雪    币: 281
活跃值: (226)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
大佬能发一下附件吗
2022-7-3 16:19
0
雪    币: 4583
活跃值: (6836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
it is great article
2022-7-3 23:46
0
雪    币: 28
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
怎么联系。有偿求破解
2022-7-7 05:30
0
雪    币: 551
活跃值: (1522)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
赞一个
2022-7-22 14:19
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
赞赞赞
2022-9-8 11:28
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
大佬 怎么联系?
2023-4-24 13:15
0
雪    币: 1
活跃值: (743)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
大佬 怎么联系?
2023-4-25 10:44
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
您好,请问ollvm混淆可以控制某个类的代码不混淆吗,我看了很多相关资料没有这方面的介绍
2023-6-12 15:43
0
雪    币: 672
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
怎么联系
2023-11-16 17:38
0
游客
登录 | 注册 方可回帖
返回
//