2015年07月_Fly20141201

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月

转载手机改 user模式为debug模式

logcat 是Android中一个命令行工具，可用于监控手机应用程序的log信息。网上相关的教学很多，这里只想把自己折腾 2 部手机（一个是三星S4 I9500 港水，Android 5.01，一个是 NOTE4 N9108V 移动4G国行版 Android 4.4.4）的心得做个记录，这种方法个人觉得最好，同样的风险也不小。建议具有一定刷机经验的朋友看。没有任何经验的不要乱试。在测试中得到了越

2015-07-24 18:56:45 4553 2

原创手动脱Mole Box壳实战总结

作者：Fly2015这个程序是吾爱破解脱壳练习第8期的加壳程序，该程序的壳是MoleBox V2.6.5壳，这些都是广告，可以直接无视了。前面的博客手动脱Mole Box V2.6.5壳实战中已经给出了一种比较笨的脱壳的方法，在进行脱壳程序的IAT表的修复的时，采用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法，很挫。下面就来讲一讲稍微好点的修复IAT表的方法。

2015-07-17 10:30:33 2014

原创一个感染型的病毒逆向分析

作者：Fly2015其实对于病毒分析人员来讲，会逆向分析汇编代码只是一个方面，一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后，能大致了解这个病毒有哪些危害，怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。对于代码的具体分析：关键

2015-07-16 19:21:25 3583 5

原创手动脱RLPack壳实战

作者:Fly2015吾爱破解论坛培训第一课选修作业练习的第7题。这个壳没听说过，但是脱起来比较简单，根据ESP定律即可直达光明，Dump出原来的程序。老规矩，首先对需要脱壳的程序进行查壳处理。使用DIE查壳的结果，程序加的是RLPack壳并且原程序是用微软编译器编译的。OD载入加壳程序进行调试分析，入口点代码反汇编快照。看到PUSHAD指令想都不要想，

2015-07-15 10:05:21 2851

原创手动脱WinUpack 壳实战

作者：Fly2015吾爱破解培训第一课选修作业第6个练习示例程序。不得不重复那句话，没见过这种壳，该壳是压缩壳的一种，相对于压缩壳，加密壳的难度要大一些，特别是IAT表的修复问题上。首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理。OD载入加WinUpack 壳的程序进行动态调试分析，加壳程序入口点反汇编快照。想都不用想，看到PU

2015-07-15 09:40:21 2542

原创手动脱KBys Packer(0.28)壳实战

作者：Fly2015吾爱破解培训第一课选修作业第5个练习程序，在公司的时候用郁金香OD调试该加壳程序的时候出了点问题，但是回家用吾爱破解版的OD一调试，浑身精神爽，啥问题也没有。首先使用查壳工具对加壳的程序进行查壳操作。OD载入需要脱壳的程序进行动态调试和分析，加壳程序入口点反汇编快照。F8单步跟踪程序几步，发现了比较熟悉的PUSHAD指令，又可以

2015-07-15 09:26:49 1963

原创手动脱PeCompact 2.20壳实战

PeCompact壳又是一个没有听说过的壳，需要脱壳的程序是吾爱破解培训的第一课的选修作业四。最近对脱壳有点上瘾了，当然也遭受了脱壳受挫的无奈，但是比较幸运还是把这个壳给搞了。对加壳程序进行查壳。工具DIE显示程序加的是PeCompact壳，并且原来没加壳的程序使用Microsoft Visual C/C++(2008)编写的，这一点对于查找原程序的真实OEP非常有帮助。

2015-07-15 09:03:23 2230

原创手动脱ORiEN壳实战

作者:Fly2015ORiEN这种壳之前没有接触，到底是压缩壳还是加密壳也不知道，只能试一试喽。需要脱壳的程序是吾爱破解脱壳练习第7期的题目。首先对加壳程序进行查壳，这一步也是程序脱壳的必要的一步。使用DIE工具对加壳程序进行查壳，发现被加壳程序原来是用Delphi语言编写的，这个信息对于找原程序的OEP是很有帮助的。下面OD载入程序进行分析，被加壳程序入

2015-07-14 14:31:45 1559

原创 AliCrackme_2题的分析

作者：Fly2015AliCrackme_2.apk运行起来的注册界面，如图。首先使用Android反编译利器Jeb对AliCrackme_2.apk的Java层代码进行分析。很幸运，就找到了该apk程序的用户注册码的函数securityCheck并且这个函数是在Native层实现的。下面就到该程序的so库中去查找该函数的Native实现。Native层

2015-07-14 09:19:53 2961 1

原创手动脱Mole Box V2.6.5壳实战

作者：Fly2015这个程序是吾爱破解脱壳练习第8期的加壳程序，该程序的壳是MoleBox V2.6.5壳，之前也碰过该种壳但是这个程序似乎要复杂一点。首先对加壳程序进行侦壳处理。Exeinfo PE侦壳的结果：DIE侦壳的结果，很显然DIE告诉我们被加壳程序的源程序使用Delphi编写的，这个比较有用，对于我们找到程序的真实OEP很有帮助作用。O

2015-07-13 09:23:02 2903

原创手动脱FSG壳实战

作者：Fly2015对于FSG壳，之前没有接触过是第一次接触，这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿，后来还是被搞定了。 1.查壳首先对该程序（吾爱破解培训第一课作业三.exe）进行查壳：很遗憾，这次DIE也不行了，不过没事。2.脱壳OD载入该加壳的程序进行分析，下面是入口点的汇编代码：

2015-07-09 15:01:32 4595 10

原创手动脱NsPacK壳实战

这里脱壳的程序是吾爱破解培训的作业2，相较于作业1稍微要强一点，但是只要掌握了脱壳的ESP定律，脱这个Nspack壳并不难，不过还是蛮有意思的。1.使用查壳软件对加壳的程序进行查壳。使用PE Detective查壳的结果：使用DIE查壳的结果：2.OD载入程序进行脱壳操作OD载入以后，被加壳程序的入口点的汇编代码，如图。很显然，加壳程序载入OD以后，发现

2015-07-09 14:27:27 2687

原创手动脱UPX 壳实战

作者：Fly2015Windows平台的加壳软件还是比较多的，因此有很多人对于PC软件的脱壳乐此不彼，本人菜鸟一枚，也学习一下PC的脱壳。要对软件进行脱壳，首先第一步就是查壳，然后才是脱壳。推荐比较好的查壳软件：PE Detective 、Exeinfo PE、DIE工具。需要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/

2015-07-09 10:58:37 5621 2

原创 Xposed框架之函数Hook学习

作者：Fly2015Xposed是Android下Java层的开源Hook框架类似的有cydiasubstrate框架并且据说cydiasubstrate框架能实现Android的Java层和Native层的函数的Hook。学习Android的逆向也有一段时间了，记录一下学习Xposed框架的过程。Xposed框架的学习网站: http://repo.xposed.info/

2015-07-06 16:54:53 19180 12

原创 SSDTHook实例--编写稳定的Hook过滤函数

讲解如何写Hook过滤函数，比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码，无法得知游戏公司是如何编写这个过滤函数。我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如：http://bbs.pediy.com/showthread.php?t=126802http://bbs.pediy.com/sh

2015-07-04 13:45:16 3126

原创 windows内核Api的学习

windows内核api就是ntoskrnl.exe导出的函数。我们可以跟调用应用层的api一样，调用内核api。不过内核api需要注意的是，如果函数导出了，并且函数文档化（也就是可以直接在msdn上搜索到）。ExFreePool函数导出，并且文档化，那么我们可以直接调用。导出了未文档化，那么我们就要声明。什么叫文档化和未文档化呢？大家来看一个函数：UCHAR *PsGetProcessIma

2015-07-02 16:50:18 3618 1

Android so加固简单脱壳代码

Android so加固的简单脱壳，也是Android ELF文件格式学习不可不学习的知识内容，想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。

2017-09-27

Art模式下基于Xposed Hook框架脱壳的代码

一份基于Art模式下Xposed Hook框架开发的脱壳工具的代码，对Android加固脱壳感兴趣的同学可以拿来学习参考一下。

2017-09-26

ddi Hook框架代码分析

对Android的java Hook框架ddi代码的分析和学习整理，方便自己查找和学习，对Android ddi Hook框架感兴趣的同学可以下载来看看，希望能帮助到你。

2017-09-12

Android Hook框架adbi源码

已经注释过的Android Hook框架的adbi源码，留给自己也留给需要学习Android系统上的inline Hook的同学。这份adbi源码是作者最新发布的，代码中比较难理解的地方都有注释说明，不排除我理解不到位的地方，希望对想了解adbi hook的同学有帮助。

2017-07-09

andorid so注入

Andorid进程的so注入的框架代码，相比网上其他的Andorid so注入代码更稳定，留给需要的同学，也为了自己备份一下。按照博客中的说明，在eclipse下能够编译成功。

2016-12-26

Android native Hook的源码

Android进程so注入Hook java方法的原理和使用（一）中提到的Android native Hook的源码工程，能够在ubuntu下编译成功，提供给向学习Android的Hook的同学，同时也自己备份一下。

2016-12-24

Android native Hook工具

Android进程so注入Hook java方法的原理和使用（一）中介绍的Android native Hook工具文件，已经在android模拟器上进行Hook测试，能够成功，提供给需要的朋友，也为自己备份一下。

2016-12-24

drizzleDumper工具和源码

android的脱壳drizzleDumper工具的可执行文件和已经详细注释的代码，送给需要的android安全学习的同学，也留给自己，每天进步一点。

2016-12-10

Android 4.4.4源码的.classpath文件

Android 4.4.4源码的.classpath文件，主要用于将Android 4.4.4源码的导入到eclipse工具中，提供给需要学习android源码的同学，也自己顺便记录一下，方便查找。

2016-11-28

ubuntu下boot.img的解包、打包工具

在ubuntu系统下使用，Android系统的boot.img解包、打包工具，对于喜欢折腾Andorid系统的boot.img文件同学比较有帮助，同时也为了方便自己查找工具节省时间。具体的功能的使用可以去看博文http://blog.csdn.net/qq1084283172/article/details/52422205。

2016-09-15