[原创]拳打脚踢系列之棒子的游戏——记一次探索做大哥的原理从0到1-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]拳打脚踢系列之棒子的游戏——记一次探索做大哥的原理从0到1

发表于: 2024-9-3 15:40 20506

[原创]拳打脚踢系列之棒子的游戏——记一次探索做大哥的原理从0到1

New对象处

2024-9-3 15:40

20506

那天酒足饭饱，夜不能寐，在日韩区看的津津有味，索性动身打开电脑，来一场酣畅淋漓的文章。废话不多说，欢迎大家来到日韩专区，这次的主角是 NHN AppGuard ，主角的特征是 libdiresu.so libloader.so

主角圆润的弹窗，不得不说很标特否，粗略扫一眼，完蛋居然被检测到我那藏起来的根（Rooting）
图片描述

图片描述
直接给我干闪退，网上说日韩很温柔，都是骗人的！！！幸好我打印了so 加载，不得不让我怀疑 libloader.so，现在目标明确，先干它

现在就让我们用IDA 好好蹂躏它吧，可以看到.init_array 有很多个函数，只有第一个函数sub_1718D4被IDA识别到，嗦嘎！！！明显是第一个函数解密了后面的函数，这里有个执行顺序的问题，如果JNI_Onload 是加密的，那么就往init_array，init_proc 去分析，假如都是加密的，那没得说了
图片描述

这个壳的解密过程就不细说了，感兴趣可以去看下乐佬写的文章，看的我意犹未尽，从壳的加载解密到闪退等等，说的很详细，点赞
乐佬的文章

当看完乐佬的文章，你已经可以进入这次的主角，距离成功只差临门一脚。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#逆向分析

收藏・26

免费・26

支持

赞赏记录

参与人

雪币

留言

时间

mb_vjpiriil

感谢你的贡献，论坛因你而更加精彩！

2024-11-3 19:01

Circ1e

为你点赞！

2024-10-29 16:26

pureGavin

+10

谢谢你的细致分析，受益匪浅！

2024-10-24 09:00

mb_zfqvurgb

为你点赞！

2024-10-24 05:30

养只猫不好么

你的分享对大家帮助很大，非常感谢！

2024-9-30 13:37

Lnju

你的分享对大家帮助很大，非常感谢！

2024-9-18 17:46

showmark

感谢你的贡献，论坛因你而更加精彩！

2024-9-18 17:26

mb_ytalqmdq

谢谢你的细致分析，受益匪浅！

2024-9-14 17:10

月行一

为你点赞

2024-9-13 19:43

DragKing

非常支持你的观点！

2024-9-13 14:13

huluxia

你的帖子非常有用，感谢分享！

2024-9-13 05:43

wx_沉默的逗比

感谢你的贡献，论坛因你而更加精彩！

2024-9-12 16:55

troublebao

为你点赞~

2024-9-9 16:07

逆天而行

你的帖子非常有用，感谢分享！

2024-9-9 11:31

ngiokweng

谢谢你的细致分析，受益匪浅！

2024-9-7 13:06

你瞒我瞒

为你点赞~

2024-9-5 09:21

sinker_

感谢你分享这么好的资源！

2024-9-5 05:36

pexillove

为你点赞~

2024-9-4 23:27

mb_qzwrkwda

你的帖子非常有用，感谢分享！

2024-9-4 10:12

jiyuren

你的分享对大家帮助很大，非常感谢！

2024-9-4 10:07

Ram98

期待更多优质内容的分享，论坛有你更精彩！

2024-9-4 10:06

劫__

+10

支持一下

2024-9-4 10:04

钞sir

感谢你的积极参与，期待更多精彩内容！

2024-9-4 09:29

huangjw

谢谢你的细致分析，受益匪浅！

2024-9-4 09:21

乐子人

你的帖子非常有用，感谢分享！

2024-9-4 01:37

.KK

你的帖子非常有用，感谢分享！

2024-9-4 01:37

最新回复 (14)
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 2 楼好贴没人点赞？不应该啊 2024-9-4 01:37 1
劫__ 雪币： 343 活跃值： (903) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 9 粉丝 38 关注私信	劫__ 3 楼支持一下 2024-9-4 10:03 0
周晓梦Chew 雪币： 247 活跃值： (260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 37 关注私信	周晓梦Chew 4 楼 6逼 2024-9-4 17:42 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 5 楼 666 2024-9-12 16:55 0
ngiokweng 雪币： 1212 活跃值： (1050) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 6 楼學到很多，感謝分享！！！ 2024-9-22 15:48 0
刘宽森雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	刘宽森 7 楼大佬主色安装包分享个 2024-9-23 17:25 0
mb_zfqvurgb 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	mb_zfqvurgb 8 楼强强强 2024-10-24 05:30 0
azd放雪币： 2 活跃值： (1823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	azd放 9 楼太强了，大佬多出这种帖子，很多干货 2024-10-24 08:53 0
Angel丶龍爺雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Angel丶龍爺 10 楼问下大佬这些检测方案是怎么分析出来的 2024-11-5 10:12 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 11 楼 Angel丶龍爺问下大佬这些检测方案是怎么分析出来的基本都会有一个解密字符串的函数 2024-11-6 09:35 0
陈某人雪币： 542 活跃值： (3004) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	陈某人 12 楼 6666 2024-11-8 10:55 0
琳宇雪币： 148 活跃值： (1597) 能力值： ( LV2，RANK：15 ) 在线值：发帖 13 回帖 62 粉丝 5 关注私信	琳宇 13 楼大佬有点不理解为啥看到，art的所有JNI函数，在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢？ 2天前 0
bluegatar 雪币： 27 活跃值： (1638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 2 关注私信	bluegatar 14 楼棒子的检测手段啊 2天前 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 15 楼琳宇大佬有点不理解为啥看到，art的所有JNI函数，在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢？ UTF-8 上面的字符串，402_70_02 这个是检测分类的标识 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

New对象处

发帖

135

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 2 楼好贴没人点赞？不应该啊 2024-9-4 01:37 1
劫__ 雪币： 343 活跃值： (903) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 9 粉丝 38 关注私信	劫__ 3 楼支持一下 2024-9-4 10:03 0
周晓梦Chew 雪币： 247 活跃值： (260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 37 关注私信	周晓梦Chew 4 楼 6逼 2024-9-4 17:42 0
wx_沉默的逗比雪币： 0 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 2 关注私信	wx_沉默的逗比 5 楼 666 2024-9-12 16:55 0
ngiokweng 雪币： 1212 活跃值： (1050) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 6 楼學到很多，感謝分享！！！ 2024-9-22 15:48 0
刘宽森雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	刘宽森 7 楼大佬主色安装包分享个 2024-9-23 17:25 0
mb_zfqvurgb 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	mb_zfqvurgb 8 楼强强强 2024-10-24 05:30 0
azd放雪币： 2 活跃值： (1823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	azd放 9 楼太强了，大佬多出这种帖子，很多干货 2024-10-24 08:53 0
Angel丶龍爺雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Angel丶龍爺 10 楼问下大佬这些检测方案是怎么分析出来的 2024-11-5 10:12 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 11 楼 Angel丶龍爺问下大佬这些检测方案是怎么分析出来的基本都会有一个解密字符串的函数 2024-11-6 09:35 0
陈某人雪币： 542 活跃值： (3004) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	陈某人 12 楼 6666 2024-11-8 10:55 0
琳宇雪币： 148 活跃值： (1597) 能力值： ( LV2，RANK：15 ) 在线值：发帖 13 回帖 62 粉丝 5 关注私信	琳宇 13 楼大佬有点不理解为啥看到，art的所有JNI函数，在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢？ 2天前 0
bluegatar 雪币： 27 活跃值： (1638) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 2 关注私信	bluegatar 14 楼棒子的检测手段啊 2天前 0
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 15 楼琳宇大佬有点不理解为啥看到，art的所有JNI函数，在NewStringUtf这个并不是反射字符串吧看那个bytes并不是反射的字符串吧只是一个UTF-8。是截图没全呢？ UTF-8 上面的字符串，402_70_02 这个是检测分类的标识 2天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复