首页
社区
课程
招聘
[原创]拳打脚踢系列之棒子的游戏——记一次探索做大哥的原理从0到1
发表于: 2024-9-3 15:40 20537

[原创]拳打脚踢系列之棒子的游戏——记一次探索做大哥的原理从0到1

2024-9-3 15:40
20537

那天酒足饭饱,夜不能寐,在日韩区看的津津有味,索性动身打开电脑,来一场酣畅淋漓的文章。废话不多说,欢迎大家来到日韩专区,这次的主角是 NHN AppGuard ,主角的特征是 libdiresu.so libloader.so
 

主角圆润的弹窗,不得不说很标特否,粗略扫一眼,完蛋居然被检测到我那藏起来的根(Rooting)
图片描述

图片描述
直接给我干闪退,网上说日韩很温柔,都是骗人的!!!幸好我打印了so 加载,不得不让我怀疑 libloader.so,现在目标明确,先干它
 

现在就让我们用IDA 好好蹂躏它吧,可以看到.init_array 有很多个函数,只有第一个函数sub_1718D4被IDA识别到,嗦嘎!!!明显是第一个函数解密了后面的函数,这里有个执行顺序的问题,如果JNI_Onload 是加密的,那么就往init_array,init_proc 去分析,假如都是加密的,那没得说了
图片描述

这个壳的解密过程就不细说了,感兴趣可以去看下乐佬写的文章,看的我意犹未尽,从壳的加载解密到闪退等等,说的很详细,点赞
乐佬的文章

当看完乐佬的文章,你已经可以进入这次的主角,距离成功只差临门一脚。
 


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 26
支持
分享
最新回复 (14)
雪    币: 3222
活跃值: (4922)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
2
好贴没人点赞?不应该啊
2024-9-4 01:37
1
雪    币: 343
活跃值: (903)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
支持一下
2024-9-4 10:03
0
雪    币: 247
活跃值: (260)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
6逼
2024-9-4 17:42
0
雪    币: 0
活跃值: (532)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
666
2024-9-12 16:55
0
雪    币: 1212
活跃值: (1050)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
學到很多,感謝分享!!!
2024-9-22 15:48
0
雪    币: 17
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
大佬 主色  安装包分享个
2024-9-23 17:25
0
雪    币: 6
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
强强强
2024-10-24 05:30
0
雪    币: 2
活跃值: (1823)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
太强了,大佬多出这种帖子,很多干货
2024-10-24 08:53
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
问下大佬这些检测方案是怎么分析出来的
2024-11-5 10:12
0
雪    币: 129
活跃值: (4485)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
Angel丶龍爺 问下大佬这些检测方案是怎么分析出来的
基本都会有一个解密字符串的函数
2024-11-6 09:35
0
雪    币: 542
活跃值: (3004)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
6666
2024-11-8 10:55
0
雪    币: 148
活跃值: (1597)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
13
大佬有点不理解为啥看到,art的所有JNI函数,在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢?
2天前
0
雪    币: 27
活跃值: (1638)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
棒子的检测手段啊
2天前
0
雪    币: 129
活跃值: (4485)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
琳宇 大佬有点不理解为啥看到,art的所有JNI函数,在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢?
UTF-8 上面的字符串,402_70_02 这个是检测分类的标识
2天前
0
游客
登录 | 注册 方可回帖
返回
//