逆向工程
yunshouhu
爱Java,更爱Android,学VC,搞c/c++的我。专注移动安全,游戏安全,逆向安全!十年戎马成神路,君临天下风雷动! https://github.com/yunshouhu
展开
-
【 IDA】使用IDA load file功能,导入JNI.h解析【JNI 函数】
转自:http://blog.csdn.net/u010382106/article/details/44960243一、需求:使用IDA 导入C/C++头文件,添加头文件中的结构体,使用此结构体中的函数替换反汇编中的偏移,是文件可读性更好!!!!二、步骤:步骤一:点击IDAPro 菜单项“File->Load file->Parse c header file ” 选转载 2016-06-27 19:17:41 · 3113 阅读 · 2 评论 -
OD操作整理-API断点的设置;寄存器的修改;数据的查看
转自:http://blog.csdn.net/lostspeed/article/details/8882624中断的设置断点列表和代码的切换断点的操作与切换转到表达式, 用于在汇编窗口直接查找API查找程序中使用的API,并对关注的API下端点.确定在程序领空内. 需要在主程序领空查看API列表.转载 2017-12-14 22:43:26 · 6712 阅读 · 0 评论 -
ELF section修复的一些思考
转自:http://bbs.pediy.com/thread-192874.htm-------------------------------------------------------------------------------------------一、 概述相信各位读者对so分析都采用静态和动态相结合的方式,静态分析常用readelf、objdump、id转载 2017-04-01 01:07:56 · 1376 阅读 · 0 评论 -
010editor模板例子解析二进制数据
http://www.sweetscape.com/010editor/templates.htmlstruct FILE { struct HEADER { char type[4]; int version; ushort numRecords; } header ; struct RECORD {原创 2017-04-01 00:46:43 · 4865 阅读 · 0 评论 -
010editor脚本语法深入分析
转自:http://blog.csdn.net/lichao890427/article/details/51870347010editor是一款十六进制编辑器,和winhex相比支持更灵活的脚本语法,可以对文件、内存、磁盘进行操作常用的模板库(*.bt)用于识别文件类型http://www.sweetscape.com/010editor/repository/templat转载 2017-04-01 00:40:07 · 6713 阅读 · 0 评论 -
关于ida pro的牛逼插件keypatch
关于ida pro的牛逼插件keypatch通常ida在修改二进制文件,自带的edit->patch program->assemble 可以修改x86, x64 但是不能修改arm, arm64,移动端逆向该怎么办? 之前arm下可以使用ida-patcher http://thesprawl.org/projects/ida-patcher/ 这个插件,但是必须知道arm指转载 2017-03-27 18:00:49 · 9094 阅读 · 1 评论 -
Android安卓破解之逆向分析SO常用的IDA分析技巧
转自:http://blog.csdn.net/asmcvc/article/details/51026030参考:网易云加密:http://apk.aq.163.com网易云捕:http://crash.163.com1、结构体的创建及导入,结构体指针等。以JniNativeInterface, DexHeader为例。 解析Dex的函数如下:转载 2017-03-27 17:41:42 · 1639 阅读 · 0 评论 -
IDA调试android so文件.init_array和JNI_OnLoad
我们知道so文件在被加载的时候会首先执行.init_array中的函数,然后再执行JNI_OnLoad()函数。JNI_Onload()函数因为有符号表所以非常容易找到,但是.init_array里的函数需要自己去找一下。首先打开view ->Open subviews->Segments。然后点击.init.array就可以看到.init_array中的函数了。但一般当我们使用i转载 2017-02-26 17:25:57 · 1700 阅读 · 0 评论 -
odex转dex遇到的异常 Cannot locate boot class path file /system/framework/core.odex
事件描述:为了将国行ROM中system/app下的CertInstaller.odex转为CertInstaller.dex,输入“java -jar baksmali.jar -x CertInstaller.odex”,出现如下错误: org.jf.util.ExceptionWithContext: Cannot locate boot class path file /system/fr转载 2017-02-22 12:08:50 · 887 阅读 · 0 评论 -
26款优秀的Android逆向工程工具
转自:点http://www.freebuf.com/sectool/111532.html工欲善其事必先利其器,好的Android逆向工程工具在逆向破解工程中起到事半功倍的作用。1. SMALI/BAKSMALISMALI/BAKSMALI是一个强大的apk文件编辑工具,用于Dalvik虚拟机(Google公司自己设计用于Android平台的虚拟机)来反编译和回编转载 2017-01-18 00:36:26 · 14254 阅读 · 0 评论 -
利用Pin分析程序的动态行为特征
http://blog.csdn.net/weiffun/article/details/4307852在程序设计和优化过程中,我们通常希望能有工具帮助我们分析热点代码、覆盖率、内存泄露等这些特性,对多线程程序还希望能分析并发性、竞争和死锁等等。但这些特征通常在静态编译时很难获取,而且往往只能在运行时才能确定。Pin是intel开发的动态插桩工具,它提供一套API让我们开发和定制自己的转载 2016-11-10 00:35:07 · 1411 阅读 · 0 评论 -
ARM寄存器介绍
ARM处理器模式用户模式(User):ARM处理器正常的程序执行状态快速中断模式(FIQ):用于高速数据传输或通道处理外部中断模式(IRQ):用于通用的中断处理管理模式(Supervisor):操作系统使用的保护模式数据访问终止模式(Abort):当数据或指令预取终止时进入该模式,可用于虚拟存储及存储保护系统模式(System):运行具有特权的操作系统任务未定义指令中止转载 2016-10-28 19:33:06 · 470 阅读 · 0 评论 -
[翻译]理解/检测 Inline Hooks/ WinAPI Hooks (Ring3)
转自:https://bbs.pediy.com/thread-223317.htm你有没有想过,恶意软件是如何从web浏览器中获取口令密码凭证的呢?最流行的攻击方法是Man-in-The-Browser (MiTB),这也是大家所说的内联挂钩(inline hooking或者detours)。内联钩子技术在恶意软件中非常常见而且难以置信的好用。有了内联钩子技术后,恶意软件就成为了进程转载 2017-12-14 22:55:55 · 608 阅读 · 0 评论