[原创]某大厂风控引擎SDK设备指纹和环境检测分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某大厂风控引擎SDK设备指纹和环境检测分析

发表于: 2024-3-13 18:15 39089

[原创]某大厂风控引擎SDK设备指纹和环境检测分析

Aimees

2024-3-13 18:15

39089

查看主题内容

收藏・138

免费・46

支持

打赏 + 1.00雪花

mb_waaorftj

打赏次数 1

雪花 + 1.00

mb_waaorftj

+1.00

2024/04/08

精品文章～

最新回复 (58) ◀ 1 2 3 ▶
koftnt 雪币： 4 活跃值： (517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 26 楼 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 2024-3-28 16:36 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 27 楼 koftnt 孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 我也不知道这些的含义是什么 2024-3-29 18:49 0
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 28 楼想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 2024-4-1 14:23 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 29 楼 ivy1 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 2024-4-1 14:57 0
hacker521 雪币： 717 活跃值： (1446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 21 关注私信	hacker521 30 楼 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 6666666666666 2024-4-6 02:10 0
珍惜Any 雪币： 3355 活跃值： (14008) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 31 楼写的挺好的，点赞。 2024-4-6 21:32 0
mb_zfqvurgb 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	mb_zfqvurgb 32 楼 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。根据大佬的提示，找到一些可疑的字符串解密位置。想请教下大佬，想请教下大佬，大佬之前找这种解密位置不是解密函数的情况（假如说事先不知道字符串解密使用的是异或还是解密函数），有什么小技巧分享嘛？最后于 2024-4-7 10:14 被mb_zfqvurgb编辑，原因： 2024-4-6 21:59 0
hacker521 雪币： 717 活跃值： (1446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 21 关注私信	hacker521 33 楼珍惜Any 写的挺好的，点赞。基本涵盖了珍惜大佬以前文章的检测手段 2024-4-7 10:33 0
我只是没人要雪币： 455 活跃值： (3885) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 31 粉丝 163 关注私信	我只是没人要 34 楼去年看过我记得当时看的版本会对libNetHTProtect.so 的text段进行md5 然后和预置的值进行比较，结果不对就会kill。需要过了这个点才能hook libNetHTProtect.so 2024-4-7 11:14 0
mb_fvjroydy 雪币： 0 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fvjroydy 35 楼包名检测,遍历/data/data/目录，这个怎么做到的？不是没有权限吗？ 2024-4-7 18:16 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 36 楼 mark 2024-4-8 17:34 0
mb_qkittagb 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qkittagb 37 楼不错的文章，对于数字营销作弊很有帮助，支持一下大佬！ 2024-4-10 16:51 0
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 38 楼大佬好牛，我trace到了一些ro.meizu.setupwizard.flyme ，ro.vivo.os.build.display.id 之类的字段，也许是系统识别用的，不知道大佬逆到了没有 2024-4-11 16:14 0
闲闲雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	闲闲 39 楼 mark 真牛能留个联系方式吗 2024-4-15 21:28 0
BetrayPity 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	BetrayPity 40 楼系统调用 prctl(PR_GET_SECCOMP)用来获取seccomp的状态，返回值为0时代表进程没有被施加seccomp，否则代表进程被施加seccomp 这里写错了吧返回2才是未启用seccomp吧 2024-4-16 09:00 1
kllei 雪币： 206 活跃值： (840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 41 楼 mark 2024-4-18 15:28 0
mb_waaorftj 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_waaorftj 42 楼检测bootloader解锁状态的详细细节能聊聊吗？怎么联系 2024-4-22 14:45 0
mb_xiycqmtm 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_xiycqmtm 43 楼大佬能发下样本么？ 2024-4-23 16:40 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 44 楼 mb_xiycqmtm 大佬能发下样本么？ https://www.123pan.com/s/asedTd-We45d.html提取码:U49q 2024-4-24 09:49 0
mb_eaoluppm 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eaoluppm 45 楼 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎最后于 2024-4-26 01:41 被mb_eaoluppm编辑，原因： 2024-4-26 01:41 0
3dotNS 雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	3dotNS 46 楼感谢分享 2024-4-30 15:53 0
鱼玄机雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	鱼玄机 47 楼感谢分享，很详细。 2024-5-21 17:34 0
Lnju 雪币： 650 活跃值： (4202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 48 楼样本点登陆之后，一直提示加载中，也装了wx，但是没什么反映最后于 2024-5-30 19:53 被Lnju编辑，原因： 2024-5-30 19:52 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 49 楼 Lnju 样本点登陆之后，一直提示加载中，也装了wx，但是没什么反映你的手机有异常的环境被风控检测到了，云端会校验然后不让你登录 2024-5-30 20:27 0
Lnju 雪币： 650 活跃值： (4202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 50 楼 Aimees 你的手机有异常的环境被风控检测到了，云端会校验然后不让你登录原来如此感谢大佬 2024-5-30 22:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Aimees

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
koftnt 雪币： 4 活跃值： (517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	koftnt 26 楼 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 2024-3-28 16:36 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 27 楼 koftnt 孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 我也不知道这些的含义是什么 2024-3-29 18:49 0
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 28 楼想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 2024-4-1 14:23 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 29 楼 ivy1 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 2024-4-1 14:57 0
hacker521 雪币： 717 活跃值： (1446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 21 关注私信	hacker521 30 楼 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 6666666666666 2024-4-6 02:10 0
珍惜Any 雪币： 3355 活跃值： (14008) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 31 楼写的挺好的，点赞。 2024-4-6 21:32 0
mb_zfqvurgb 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	mb_zfqvurgb 32 楼 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。根据大佬的提示，找到一些可疑的字符串解密位置。想请教下大佬，想请教下大佬，大佬之前找这种解密位置不是解密函数的情况（假如说事先不知道字符串解密使用的是异或还是解密函数），有什么小技巧分享嘛？最后于 2024-4-7 10:14 被mb_zfqvurgb编辑，原因： 2024-4-6 21:59 0
hacker521 雪币： 717 活跃值： (1446) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 21 关注私信	hacker521 33 楼珍惜Any 写的挺好的，点赞。基本涵盖了珍惜大佬以前文章的检测手段 2024-4-7 10:33 0
我只是没人要雪币： 455 活跃值： (3885) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 31 粉丝 163 关注私信	我只是没人要 34 楼去年看过我记得当时看的版本会对libNetHTProtect.so 的text段进行md5 然后和预置的值进行比较，结果不对就会kill。需要过了这个点才能hook libNetHTProtect.so 2024-4-7 11:14 0
mb_fvjroydy 雪币： 0 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fvjroydy 35 楼包名检测,遍历/data/data/目录，这个怎么做到的？不是没有权限吗？ 2024-4-7 18:16 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 36 楼 mark 2024-4-8 17:34 0
mb_qkittagb 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qkittagb 37 楼不错的文章，对于数字营销作弊很有帮助，支持一下大佬！ 2024-4-10 16:51 0
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 38 楼大佬好牛，我trace到了一些ro.meizu.setupwizard.flyme ，ro.vivo.os.build.display.id 之类的字段，也许是系统识别用的，不知道大佬逆到了没有 2024-4-11 16:14 0
闲闲雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	闲闲 39 楼 mark 真牛能留个联系方式吗 2024-4-15 21:28 0
BetrayPity 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	BetrayPity 40 楼系统调用 prctl(PR_GET_SECCOMP)用来获取seccomp的状态，返回值为0时代表进程没有被施加seccomp，否则代表进程被施加seccomp 这里写错了吧返回2才是未启用seccomp吧 2024-4-16 09:00 1
kllei 雪币： 206 活跃值： (840) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 41 楼 mark 2024-4-18 15:28 0
mb_waaorftj 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_waaorftj 42 楼检测bootloader解锁状态的详细细节能聊聊吗？怎么联系 2024-4-22 14:45 0
mb_xiycqmtm 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_xiycqmtm 43 楼大佬能发下样本么？ 2024-4-23 16:40 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 44 楼 mb_xiycqmtm 大佬能发下样本么？ https://www.123pan.com/s/asedTd-We45d.html提取码:U49q 2024-4-24 09:49 0
mb_eaoluppm 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eaoluppm 45 楼 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎最后于 2024-4-26 01:41 被mb_eaoluppm编辑，原因： 2024-4-26 01:41 0
3dotNS 雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	3dotNS 46 楼感谢分享 2024-4-30 15:53 0
鱼玄机雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	鱼玄机 47 楼感谢分享，很详细。 2024-5-21 17:34 0
Lnju 雪币： 650 活跃值： (4202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 48 楼样本点登陆之后，一直提示加载中，也装了wx，但是没什么反映最后于 2024-5-30 19:53 被Lnju编辑，原因： 2024-5-30 19:52 0
Aimees 雪币： 823 活跃值： (1128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 26 粉丝 86 关注私信	Aimees 49 楼 Lnju 样本点登陆之后，一直提示加载中，也装了wx，但是没什么反映你的手机有异常的环境被风控检测到了，云端会校验然后不让你登录 2024-5-30 20:27 0
Lnju 雪币： 650 活跃值： (4202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 50 楼 Aimees 你的手机有异常的环境被风控检测到了，云端会校验然后不让你登录原来如此感谢大佬 2024-5-30 22:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复