- 博客(227)
- 收藏
- 关注
RSS订阅原创 和爱豆更近一步——某爱豆聊天App反调试绕过
v66,也就是x24的值,如果是风险分数,分数越高,是不是就访问到了权限为只读的内存了呢?先说说调试的结论,要想用frida绕过这个风险检测,直接nop一个函数是不行的,因为会各种各样奇怪的崩溃问题。这个函数只是检测了许许多多的风险字符串,内部调用的只是字符串拷贝或者寻找子串的函数,没有额外的影响线程运行的函数。的意思是访问的内存地址是存在的,但是因为权限问题报错。,之后被调用时对比这段内存是否和最初的保持一致,如果不一致,就说明内存被修改了并调用。自此,已经绕过我的手机存在的风险了,如下图所示。
2026-06-06 17:52:42
532
原创 某开源通讯软件view once图片的调用逻辑分析
以上的分析深度的结合了ai,现在的ai能够干大量人不好干的工作,比如看汇编, smali代码, frida脚本跑出来的大量的未经处理的日志等等这种对人来说晦涩难懂的东西。直接用frida开始hook,虽然不太清楚具体的结构,但是可以先hook一些比较底层的函数,然后分析数据再把hook点一步步的网上移,最后挂到反序列化、解密操作之后的地方。接下来就比较简单,把拿到的明文拼接一下,判断一下数据的开头和结尾,命中了之后直接保存就完事,扩展名是.jpg,然后直接保存完事。并且不是以明文的形式保存的。
2026-06-06 17:43:07
163
原创 Android风险环境检测 —— 签名校验
最近在阅读《Android设备指纹攻防与风险环境检测》时,发现光靠阅读书中的思路和代码片段不能很好的理解,所以打算自己写一个app,实践一下。
2026-06-06 17:41:35
549
原创 ntel 酷睿 CPU Management Engine 固件研究与分析逆向 (一) 前置准备与解包
此帖是记录笔者研究Intel Management Engine 以及 Intel-SA-00086 安全漏洞的记录笔记。笔者也不知道能研究多深入,所以研究一点是一点,顺便发出来也给各位大佬参考以及讨论。(也是下班给自己找点事做,上班一直做Agent开发太无聊了)
2026-06-06 17:39:57
194
原创 利用hermes agent 详细分析hunter检测器
2026 年 3 月 12 日,Hermes Agent 发布v2026.3.12。按官方 release 说明,这是,也是继v0.1.0这个 pre-public foundation 之后的首个正式 tagged release,不是严格意义上的"第一个版本"。截至 2026-05-30 查询官方 GitHub 仓库,已在 17 万 Star 左右;一个月内破十万这类增长叙事和 OpenClaw 的热潮相互映照,但真正让安全圈记住它的,不是 star 数,而是一个有点"灵异"的故事。
2026-06-06 17:36:55
250
原创 提权实录:通过命名管道劫持可写服务
在分析某 Windows 应用的服务组件时,发现其创建的命名管道访问控制配置宽松,允许低权限用户连接并发送指令,从而触发高权限的终止任意进程操作(taskkill进一步分析发现,被终止的服务会自动重启,而其可执行文件的权限配置错误,允许 Everyone 组读写。结合这两个缺陷,可构造一条完整的本地提权利用链。本提权利用链的成功构建,关键在于命名管道访问控制配置不当与服务可执行文件权限配置错误这两个缺陷的组合利用,在实战过程中发现类似的问题很多,是个值得关注的攻击面。@倾旋在漏洞挖掘过程中提供的协助。
2026-06-06 17:33:47
205
原创 快递 100 小程序接口安全分析笔记
第 1 步:攻击者注册一个账号 第 2 步:用越权漏洞遍历查询 10000 个快递单号 第 3 步:从每个响应的 uuid 中提取用户 ID 第 4 步:获得"快递单号 ↔ 用户 ID"的完整映射表 第 5 步:用这个映射表去攻击其他接口(如订单详情、用户信息等)openid=ocNgX***PkZE——微信用户的唯一标识,同一个用户在不同的程序下都不一样,长期有效。YT886***5837 = 快递单号 993***289 = 用户 ID。num=YT886***5838——业务参数。
2026-05-16 19:00:34
362
1
原创 打破传统AI逆向的新思路 多Agent、自主管理上下文 - 逆向思路
本人使用AI逆向和AI开发已经两年时间(目前是在做Agent开发),从纯粹网页时代的GPT辅助逆向到Claude3.5,到后面的AI爆发时代的GLM5.1,Claude4.7等等。看到很多人用ai逆向的思路和手法还是过于局限和原始(纯粹的流式对话)。想分享一些新思路。作者本身是做算法逆向还原,所以文章就以我自己的方向为主进行抛砖引玉。如何高效的逆向。(本文章零AI注水请放心食用,除开绘图使用了AI)
2026-05-16 18:57:01
844
1
原创 某企业壳逆向分析——从过检测到dex代码抽取还原
这个壳子经常听人说,好像是frida检测特别厉害,据说国内许多银行类app都在用。逆向了一下发现非常简单,好在实现了第三代dex加固——代码抽取,刚好论坛里缺这方面的逆向帖子,这里简单补充一下。这个加固其实不难,总共逆向分析大概2天时间。so层加固非常简单,没有混淆,没有自定义linker,检测手段也比较常规,字符串加密为inline方式。dex加固方式采用第三代代码抽取加固,可以对抗常规的脱壳脚本。frida检测之所以以前觉得很强,可能是因为从检测java-bridge角度出发的。
2026-05-16 18:54:39
388
原创 新版某企业壳加固自定义linker与frida检测分析
新版加入了自定义linker so壳,相较于旧版本强了一些。首先通过maps文件定位到内存中的so,然后通过pread读取加密的数据:根据解密出的配置文件,mmap出一段内存,用于复制真实的so的rx和rw段:第一次mmap出的是rx段,对elf头进行rc4解密,然后对剩余部分进行简单的异或解密:然后再次mmap出rw段,用异或解密。
2026-05-16 18:48:25
354
原创 AI辅助分析某德地图
为什么要分析某德地图呢?这个是因为本人在网页中进行搜索的时候,在不登录的情况下时不时会弹出登陆页面,出于好奇就决定分析一手。某德地图是典型的某里体系安全防护机制,其中包含。
2026-04-26 10:59:00
386
原创 新版梆企检测绕过
其实本来应该连dex解密流程一块讲的,但是上周一直在加班,没有时间写完,所以拆成两篇来写吧,这篇先只讲一下如何绕过frida检测,祈祷我下周不要再加班了。
2026-04-26 10:57:26
530
原创 淘宝 x-sign 模拟执行
本文只描述跑通模拟执行的完整流程,不对加密本身做过多分析,模拟执行本身可以用作加密的黑盒调用,也可作为加密的分析环境。
2026-04-26 10:53:43
371
原创 ai 绕过ios越狱检测
坑结论在 palera1n iOS 16 设备会让 agent load 直接失败;用默认 QJS一个 noreturn 函数返回 intcaller 后面没合法路径,立即 SIGILL;改onEnter永不 returnApple 的 libc/CoreFoundation 函数可能导致 CFBundle / libxpc 里缓存的函数指针调用时进入半成品 Gum trampoline 撞 illegal-instruction;能 attach 就 attach。
2026-04-26 10:49:44
453
原创 某box App逆向分析
目标应用:com.secret.prettyhezi核心目标: 1)启动检测绕过 2)广告绕过 主要方法: jadx 静态分析 Frida Java / native hook 请求与响应明文关联分析 反编译工具: jadx IDA pro 运行时工具: Frida 具体分析流程:1. 启动阶段安全检测绕过 用已经被root以及安装了Magisk的实验机打开APP,发现打开一直白屏,对于正常手机来说是可以直接进入A
2026-04-26 10:47:35
1031
原创 某瓣libmsaoaidsec.so Frida检测分析与绕过实战
学习了frida检测原理后,打算找个样本练手。起初是仿照着东方玻璃师傅的文章复现,但是在找最后一个检测点遇到了一些阻碍,导致最后一个执行流没找出来所以暂且先放放。后来在误打误撞下发现了一个新的样本,该样本有不少检测,故借此样本分析一下。最终完成检测的绕过,以及其中各类检测方法实现的分析还原。在以前旧版本的检测当中,只需要将启动线程的函数replace即可,但是在新版当中由于线程相关逻辑缺失,导致某个后续流程使用了未初始化/无效状态。
2026-04-26 10:44:04
452
原创 Android内核无痕Hook理解和感悟
Hi,大家好,我是珍惜,这篇文章主要是我自己近年来在攻防对抗中,对 Hook 检测与反检测的一些理解和心得。随着各路安全SDK和反作弊引擎的不断进化,传统的 Hook 手段早已千疮百孔。内存 CRC 校验:扫描.text代码段,一旦发现机器码被修改(如 Inline Hook 替换了 B / LDR 指令),直接被检测。可执行内存扫描:扫描,寻找 App 进程中多出来的、非正常的r-x或rwx内存段...函数调用栈检测 (Stack Walking)
2026-04-16 21:16:06
524
1
原创 游戏逆向中常用的Hook技术
x86示例代码如下,需要注意的是编译器如果发现 OriginalHelloWorldFunction 内容很短,且在同一个文件里,它在编译 main 函数时,将不会去执行 CALL 指令,而是直接把那句 printf 的内容复制到了 main 里面。在文件状态. IAT表(firstThunk)跟 INT表一样.都是指向一个很大的表.这个表里面是4个字节进行存储.存储的是Rva. 这些RVA分别指向 导入序号以及以0结尾的字符串.所以你得把这 5 个字节抠掉,剩下的才是要跨越的距离。
2026-04-16 21:13:03
1178
原创 DLL注入技术大全
在Windows系统中运行可执行文件时,系统会调用相应需要的.dll链接库,系统的默认优先级规则是最优先调用是当前目录下的.dll链接库,寻找不到则去系统目录下寻找。游戏启动时会优先加载你的 DLL。强行修改该线程的寄存器(如 RIP/EIP),让它跳转到你的 Shellcode(一段启动加载逻辑的代码)去执行,执行完后再跳回来。所以在进程B中创建远程线程以后,直接把线程函数地址指向 LoadLibrary (A 进程中的地址),这个地址直接显式调用即可,因为这个模块是每个程序一定加载的,地址一样的。
2026-04-16 21:08:28
431
原创 小程序渗透测试之懒人找.wxapkg包
小程序点击右上角查看小程序详细信息查看更多资料即可看到一个AppID即小程序UUID。但今天测试时好像有所变化,于是写了这个脚本,避免重复工作。(此处我使用的是苹果的本地域名)修改为你的连接方式,如。IOS:提前配置好ssh密钥连接,脚本中需要把。安卓:会删除微信下的所有。将脚本上传至手机端即可。
2026-04-16 21:05:53
81
原创 js逆向-你要学会偷懒「自用的油猴脚本」
url-->加载html-->加载js-->运行js初始化-->用户触发某个事件--调用了某段js-->明文数据-->加密函数-->加密后的 数据-->send(给服务器发信息{XHR--SEND}) -->接收到服务器数据-->解密函数-->刷新函数-->刷新网页渲染。接下来我们通过一个简单的示例,初步的了解并应用以上的内容,由于是教你偷懒的教程,so这边直接使用最快捷的方式进行操作。点击堆栈nfn,然后下断点逐步调试,最终获得加密位置,然后可根据该加密流程写对应的脚本进行后续的渗透测试等操作。
2026-04-16 21:04:57
455
原创 逆向工程AI工具链环境配置
由于不想破坏我本机的Python环境我选择使用pyenv进行python环境管理,你也可以选择其他的python环境管理器进行操作。(所以以下配置我均在虚拟环境的前提下进行配置,配置过程中也使用虚拟环境的绝对路径进行配置,如有IDA默认环境问题可以看本文2.1.1。导入方式安装(你也可以直接在设置中的插件管理进行安装):jadx-mcp-server.jar包。在安装过程中碰到的如下这些问题,如你的环境没有这些问题可以忽略此节。至此,ida-pro-mcp的环境配置已完成。可自行选择最新的版本进行下载。
2026-04-16 21:01:40
1086
原创 某手游逆向全流程复盘:从 IL2CPP Dump 到 TCP 握手协议还原
本文记录了对某款基于 Unity 引擎(IL2CPP 编译)手游的完整逆向分析过程,涵盖运行时 Dump、网络协议识别、加密逻辑还原、握手流程分析,以及隐藏在脚本引擎中的业务逻辑挖掘。文章以过程复盘为主,保留了实际分析中的弯路与回溯,力求真实还原研究思路。目标游戏已脱敏处理。设备:Android 物理机抓包:SunnyNet抓包工具主要工具:frida-il2cpp-bridge、CyberChef、Python(pycryptodome)
2026-04-09 17:01:51
1170
原创 记一次对某二次元开放世界GName加密算法分析
最终来到了加密解密函数,直接说结论:byte_8BC181C是一个性能计数器值,但是被加密了, 当作它是异或密钥。跟进这个函数去分析,此处调用了一个非常可疑的函数 qword_8613B48(v29, v31);就是FNamePool,不确定,打开ce看一下。符合FNamePool的特征结构。随便转到一个Blocks元素,显然是加密了,正常情况下这里Name是None。,先通过ida的字符串查找拿到Gname。猜测可能会在注册这里做加密操作,
2026-04-09 16:58:23
47
原创 最新版某货app bypassFrida检测
文章中所有内容仅供学习交流使用,不用于其他任何目的,抓包内容、敏感网址、数据接口均已做脱敏处理。严正声明禁止用于商业和非法用途,否则由此产生的一切后果与作者本人无关。本篇文章并不会对该的各项参数进行逆向分析,只是记录下学习工具时遇到的检测,以及绕过检测的过程。简单说下使用到的工具: 再次执行这个代码,如图:
2026-04-09 16:43:45
391
原创 Cocos2d-x iOS游戏逆向分析实战
在移动游戏开发领域,Cocos2d-x 作为一款成熟的开源游戏引擎,被广泛应用于各类手游开发。然而,随着游戏安全需求的提升,对 Cocos2d-x 游戏的逆向分析也成为了安全研究人员和游戏开发者关注的重点。本文将深入剖析一个实际的 Cocos2d-x iOS 游戏逆向案例,分享完整的技术细节和实战经验。完整工具链开发:开发了从动态分析到原生Tweak的完整工具链深度游戏理解:深入理解了Cocos2d-x游戏的工作原理和架构稳定性优化:解决了多个关键技术难题,提升了工具稳定性实用价值。
2026-04-09 16:42:31
951
原创 X-Perseus AI初窥
这里的含义不是“它在 trace 里天然就叫这个名字”,而是为了后续讨论方便,把“Base64 主体输入对应的二进制原像缓冲区”统一记作。把整段输入缓冲区重建出来之后,最明显的观察不是“它像一段随机连续二进制”,而是它内部其实分成了几段角色不同的区域。这一步的意义不是“伪造一层不存在的数据”,而是把首字节上的后补丁噪音先剥掉,好继续观察更上游是否存在统一模板。也就是说,这一步的关键不再是“它是不是 Base64 输入”,而是“这块输入是不是由多个来源拼出来的”。的完整 hexdump。
2026-04-09 16:41:03
685
4
原创 抖音mssdk之get_token协议分析
这里通过string的构造函数,新建了一个待加密的string对象,并把地址保存到 [SP,#0x88],数据来源是 [SP,#0xA0], 数据长度是 [SP,#0xAC]关键加密函数是 0x1140DC。通过frida调试发现, 0x113854 的加密数据,比压缩后的数据,前面多了不固定长度字节内容,可能是 1 - 4 个字节。需要继续跟踪其数据来源。0x1110e4 函数中,在地址 0x1126e4 是一个aes加密操作,待加密的数据指针保存在 [SP,#0x88]中,是一个string对象。
2026-03-13 11:08:24
653
原创 某端游外挂网络验证的分析与破解思路
去年年底的时候,听说该游戏出现了一个挂号称可以无限刷爱心(游戏货币),于是从朋友A那里要来了样本,折腾半天干掉了网络验证部分,结果一顿分析完之后发现该功能的实现原理十分不优雅,放国内游戏厂商估计老早ban掉了...这里就把其网络验证部分的分析和破解思路分享出来吧,整个流程还是挺有意思的整个流程下来难度其实不大,没有太多逆向的地方,主要是思维的发散了。还有那两个猜测的点,想不到的话就只能硬干了,如果能把server模拟出来当然是最好的。
2026-03-13 11:02:43
468
原创 某PC游戏残血ACE反作弊ring3下的绕过分析
研究仅供学习交流目的,请勿用于任何违法用途前几个月就听说了mw在新版本上实装了ACE反作弊,上个月有空的时候去研究了一下,发现绕过方式出奇的简单,最近有空就分享一下分析过程吧一次有趣的研究,对于游戏这个ACE加载位置的设计有点难以置信,过于好绕过了,而且后面也没有心跳检测什么的,不加载ACE也不会导致游戏掉线,感觉...就像...把vmp当upx加一样,也希望相关游戏厂商能尽快修复该问题吧。
2026-03-13 10:59:35
585
原创 AI 辅助还原自定义 VMP 保护方案
VMP(Virtual Machine Protection)是当前移动端 SO 保护的主流方案。核心思路是将关键算法编译为自定义字节码,由嵌入 SO 中的解释器运行时执行。传统静态分析在这种保护下几乎失效——你看到的不是算法本身,而是一个通用解释器在逐条执行你看不懂的字节码。本文分享一套 AI 辅助的 VMP 逆向方法论。不针对任何具体目标,目前已经在某红色书籍app验证可行,只谈为什么这么做和怎么做。整体流程:12Trace → Opcode 分析 → 字节码提取。
2026-03-13 10:51:40
491
原创 Qemu 源码分析(PCI篇)
123456789101112131415staticconstconst{ },},解释12345678910// 定义类型名称// TypeInfo结构体告诉QEMU:"edu"// 设备类型名(命令行用 -device edu)// 继承自PCIDevice.instance_size = sizeof(EduState) // 每个实例的内存大小// 实例初始化函数// 类初始化函数// 实现传统PCI设备接口。
2026-03-01 19:21:52
1077
原创 Frida 17.6 最新Hook注入方案分析(Zymbiote注入机制)
然后对应进行符号解析得到 ELF 对象,然后查找我们的 setArgV0Native 函数(_Z27android_os_Process_setArgV0P7_JNIEnvP8_jobjectP8_jstring)。这里很好理解,payload相当于我们传入的二进制代码,然后我们在 ArtMethod 改对应属性指向我们的payload,这样他们执行函数的时候就会先执行我们的payload。└─ Buffer.write_pointer() / write_string() - 填充 payload。
2026-03-01 19:18:32
1075
原创 某漫画Status接口分析
小米商城 3.6亿下载量, 阅读榜第10. 比较有意思的是它使用了 Retrofit用于接口的开发 (Retrofit 是 Square 公司开发的一个 类型安全 的 HTTP 客户端库,专为 Android 和 Java 设计。它本质上是 对 OkHttp 的高级封装,通过 接口注解 将 HTTP API 转换为可调用的 Java/Kotlin 接口,极大简化了网络请求的代码。
2026-03-01 19:16:38
785
原创 某宝系某麦SecurityGuard libsgmain签名Unidbg模拟执行实战
模拟大麦 SecurityGuard 的核心不在于逆向它的算法,而在于完整还原它的“生命周期”。通过 Unidbg 的 rootfs 映射和精细的 JNI 方法补全,我们可以将其从复杂的Android 环境中解耦,实现高效的工程化调用。SecurityGuard 并非独立的 SO,它是一个依赖物理环境的“生态系统”。2. 时钟同步: 签名非常看重时间戳(ARG[0] 中的 ms 级时间),确保模拟器返回的时间与业务逻辑一致。逆向之路,不仅是代码的博弈,更是对底层原理理解的深度较量。
2026-03-01 19:09:30
1015
原创 一个恶意驱动的逆向分析
该样本为内核攻击框架,通过注册PsSetLoadImageNotifyRoutine回调监控系统DLL加载,并利用ObRegisterCallback对自身进程实施句柄降权保护,阻止安全工具扫描或终止。核心采用CreateSystemThread创建内核线程,主动枚举并附加至explorer.exe等高权限进程,结合APC注入与RtlCreateUserThread双重技术植入恶意DLL。这是恶意软件的pdb路径欢迎提出意见。
2026-03-01 19:06:40
776
原创 简单讲解UE5游戏Dx12 虚表Hook的方法并实战演示
因为UE5都是单独编译D3D12Core.dll的,并没有使用系统目录下的dll,所以我们同样使用开源的UE5源码编译一个游戏后,在游戏目录下将D3D12Core.dll拖入IDA中分析,需要分析这个dll的主要原因是Dx12绘制流程中最重要的一步就是使用CommandQueue对象下的虚函数ExecuteCommandLists来提交所有需要绘制的内容,我们需要获取到CommandQueue对象,Hook这个对象实时调用的任意一个虚函数取rcx都可以达到目的。我们定位到present函数,在头部下断。
2026-03-01 19:04:16
670
原创 使用AI完全还原京东h5st协议还原-如何用AI还原多态VM
我一直使用 AI 辅助 JS 逆向分析。从简单的 OB 混淆、sojson,到单 VM 保护,AI 都能很好地完成任务。多态虚拟机 (Polymorphic VM)保护。与单 VM 不同,多态 VM 有30+ 个独立的 dispatcher,同一个 opcode 在不同 VM 中执行完全不同的操作。如果不使用 AI,这种多态 VM 几乎无法静态分析——光是建立 30 套 opcode 映射表就是噩梦。但 AI 让多 VM 的静态还原成为可能。多态 VM 的分析方法AI + 人工的协作模式。
2026-02-05 19:48:55
1025
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人