[原创]某大厂风控引擎SDK设备指纹和环境检测分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某大厂风控引擎SDK设备指纹和环境检测分析

2024-3-13 18:15 17726

[原创]某大厂风控引擎SDK设备指纹和环境检测分析

Aimees

2024-3-13 18:15

17726

查看主题内容

收藏・93

点赞・35

打赏

打赏 + 1.00雪花

mb_waaorftj

打赏次数 1

雪花 + 1.00

mb_waaorftj

+1.00

2024/04/08

精品文章～

最新回复 (45) ◀ 1 2
koftnt 雪币： 4 活跃值： (357) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	koftnt 2024-3-28 16:36 26 楼 0 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-3-29 18:49 27 楼 0 koftnt 孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 我也不知道这些的含义是什么
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 2024-4-1 14:23 28 楼 0 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-4-1 14:57 29 楼 0 ivy1 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。
hacker521 雪币： 258 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	hacker521 2024-4-6 02:10 30 楼 0 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 6666666666666
珍惜Any 雪币： 1929 活跃值： (12850) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 999 关注私信	珍惜Any 2 2024-4-6 21:32 31 楼 0 写的挺好的，点赞。
mb_zfqvurgb 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_zfqvurgb 2024-4-6 21:59 32 楼 0 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。根据大佬的提示，找到一些可疑的字符串解密位置。想请教下大佬，想请教下大佬，大佬之前找这种解密位置不是解密函数的情况（假如说事先不知道字符串解密使用的是异或还是解密函数），有什么小技巧分享嘛？最后于 2024-4-7 10:14 被mb_zfqvurgb编辑，原因：
hacker521 雪币： 258 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	hacker521 2024-4-7 10:33 33 楼 0 珍惜Any 写的挺好的，点赞。基本涵盖了珍惜大佬以前文章的检测手段
我只是没人要雪币： 495 活跃值： (3594) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 23 粉丝 159 关注私信	我只是没人要 2024-4-7 11:14 34 楼 0 去年看过我记得当时看的版本会对libNetHTProtect.so 的text段进行md5 然后和预置的值进行比较，结果不对就会kill。需要过了这个点才能hook libNetHTProtect.so
mb_fvjroydy 雪币： 0 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fvjroydy 2024-4-7 18:16 35 楼 0 包名检测,遍历/data/data/目录，这个怎么做到的？不是没有权限吗？
koflfy 雪币： 122 活跃值： (1410) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2024-4-8 17:34 36 楼 0 mark
mb_qkittagb 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qkittagb 2024-4-10 16:51 37 楼 0 不错的文章，对于数字营销作弊很有帮助，支持一下大佬！
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 2024-4-11 16:14 38 楼 0 大佬好牛，我trace到了一些ro.meizu.setupwizard.flyme ，ro.vivo.os.build.display.id 之类的字段，也许是系统识别用的，不知道大佬逆到了没有
闲闲雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	闲闲 2024-4-15 21:28 39 楼 0 mark 真牛能留个联系方式吗
BetrayPity 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	BetrayPity 2024-4-16 09:00 40 楼 1 系统调用 prctl(PR_GET_SECCOMP)用来获取seccomp的状态，返回值为0时代表进程没有被施加seccomp，否则代表进程被施加seccomp 这里写错了吧返回2才是未启用seccomp吧
kllei 雪币： 208 活跃值： (745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 2024-4-18 15:28 41 楼 0 mark
mb_waaorftj 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_waaorftj 2024-4-22 14:45 42 楼 0 检测bootloader解锁状态的详细细节能聊聊吗？怎么联系
mb_xiycqmtm 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_xiycqmtm 2024-4-23 16:40 43 楼 0 大佬能发下样本么？
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-4-24 09:49 44 楼 0 mb_xiycqmtm 大佬能发下样本么？ https://www.123pan.com/s/asedTd-We45d.html提取码:U49q
mb_eaoluppm 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eaoluppm 2024-4-26 01:41 45 楼 0 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎最后于 2024-4-26 01:41 被mb_eaoluppm编辑，原因：
mb_xtfgaujb 雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_xtfgaujb 3天前 46 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Aimees

发帖

回帖

RANK

关注

私信

他的文章

[原创]fart脱壳优化并迁移到Android11

[原创]某大厂风控引擎SDK设备指纹和环境检测分析

[原创]新手向-某APPsign签名参数分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) ◀ 1 2
koftnt 雪币： 4 活跃值： (357) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	koftnt 2024-3-28 16:36 26 楼 0 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-3-29 18:49 27 楼 0 koftnt 孤陋寡闻，请问楼主这些是啥： ReaperAssignedDeviceId ps_imei ai_stored_imei 我也不知道这些的含义是什么
ivy1 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	ivy1 2024-4-1 14:23 28 楼 0 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-4-1 14:57 29 楼 0 ivy1 想请问下大佬,关于字符解密这段是通过IDA动态调试获取到的嘛? 之前也研究过这个库,反IDA无法动态调试, 另外请教下大佬有没有什么书籍推荐 IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。
hacker521 雪币： 258 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	hacker521 2024-4-6 02:10 30 楼 0 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。 6666666666666
珍惜Any 雪币： 1929 活跃值： (12850) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 999 关注私信	珍惜Any 2 2024-4-6 21:32 31 楼 0 写的挺好的，点赞。
mb_zfqvurgb 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_zfqvurgb 2024-4-6 21:59 32 楼 0 Aimees IDA脚本去解析异或解密的位置，起始点和长度，手动实现解密的指令，你需要把他加解密的指令全部手动实现一遍，大概有十几种指令吧，EOR LDR ADR等等，然后用脚本模拟去跑所有的解密代码，反正很复杂。根据大佬的提示，找到一些可疑的字符串解密位置。想请教下大佬，想请教下大佬，大佬之前找这种解密位置不是解密函数的情况（假如说事先不知道字符串解密使用的是异或还是解密函数），有什么小技巧分享嘛？最后于 2024-4-7 10:14 被mb_zfqvurgb编辑，原因：
hacker521 雪币： 258 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 1 关注私信	hacker521 2024-4-7 10:33 33 楼 0 珍惜Any 写的挺好的，点赞。基本涵盖了珍惜大佬以前文章的检测手段
我只是没人要雪币： 495 活跃值： (3594) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 23 粉丝 159 关注私信	我只是没人要 2024-4-7 11:14 34 楼 0 去年看过我记得当时看的版本会对libNetHTProtect.so 的text段进行md5 然后和预置的值进行比较，结果不对就会kill。需要过了这个点才能hook libNetHTProtect.so
mb_fvjroydy 雪币： 0 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fvjroydy 2024-4-7 18:16 35 楼 0 包名检测,遍历/data/data/目录，这个怎么做到的？不是没有权限吗？
koflfy 雪币： 122 活跃值： (1410) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2024-4-8 17:34 36 楼 0 mark
mb_qkittagb 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qkittagb 2024-4-10 16:51 37 楼 0 不错的文章，对于数字营销作弊很有帮助，支持一下大佬！
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 2024-4-11 16:14 38 楼 0 大佬好牛，我trace到了一些ro.meizu.setupwizard.flyme ，ro.vivo.os.build.display.id 之类的字段，也许是系统识别用的，不知道大佬逆到了没有
闲闲雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	闲闲 2024-4-15 21:28 39 楼 0 mark 真牛能留个联系方式吗
BetrayPity 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	BetrayPity 2024-4-16 09:00 40 楼 1 系统调用 prctl(PR_GET_SECCOMP)用来获取seccomp的状态，返回值为0时代表进程没有被施加seccomp，否则代表进程被施加seccomp 这里写错了吧返回2才是未启用seccomp吧
kllei 雪币： 208 活跃值： (745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	kllei 2024-4-18 15:28 41 楼 0 mark
mb_waaorftj 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_waaorftj 2024-4-22 14:45 42 楼 0 检测bootloader解锁状态的详细细节能聊聊吗？怎么联系
mb_xiycqmtm 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_xiycqmtm 2024-4-23 16:40 43 楼 0 大佬能发下样本么？
Aimees 雪币： 816 活跃值： (643) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 13 粉丝 57 关注私信	Aimees 2024-4-24 09:49 44 楼 0 mb_xiycqmtm 大佬能发下样本么？ https://www.123pan.com/s/asedTd-We45d.html提取码:U49q
mb_eaoluppm 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eaoluppm 2024-4-26 01:41 45 楼 0 Aimees mb_gbtepwge 这不是网易的嘛 ***风控引擎最后于 2024-4-26 01:41 被mb_eaoluppm编辑，原因：
mb_xtfgaujb 雪币： 218 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_xtfgaujb 3天前 46 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复