- 博客(12)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 frida检测和应对
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
2023-12-05 22:50:12
1405
1
原创 毒X-Auth-Token
X-Auth-Token 是从服务器返回来的,但是需要提交几个参数,那这几个参数看看随便改动一下有啥效果没有。Frida Hook函数验证数据Frida Hook验证最终加密字符串(按照key字典升序,然后key+value遍历拼接)需要验证SO内做了哪些操作,hook一下试试看,先用IDA分析一波,主要是看传进去的二进制字符串是啥东西.从他的命名规范来看是用的AES加密,由于是动态注册,我们需要找到so内的函数名.hook导出函数,验证传入的参数值,下图中hook到的参数2为密钥是死值:
2021-12-28 09:42:06
1858
原创 美团优选风控分析
某团优选app的部分代码.(可以看得出来,检测机器是否root,也检测了是否安装了xp环境),并且在libmtguard.so这个文件内读取了机型的很多信息,java层也获取了很多信息(某团系的so层获取机型信息都在这个so内做的)public final class DeviceUtil { private static int a; private static long b; private static long c; private static long d;
2021-10-09 13:24:34
2353
2
原创 抖音xlog算法分析
xlog包,其body体为加密函数,加密过程VM化,只能动态调试跟踪xlog算法作用:说设备激活的都是不可信的,为了增加额度强行编造xlog主要是搜集环境信息参数,例如经纬度,设备信息、cpu mac wifi等信息,组成一个json串然后调用data加密传到服务器进行分析比对。来分析此账号是否正常,决定了账号能否正常点赞关注出数据等风控!(xlog也涉及到养号)由此可知道 ,xlog是包涵加密 解密操作的。解密xlog 包中body体 数据结构如下图: p1就是device_id p2就是ins
2021-06-21 09:17:29
1177
原创 抖音xgorgon0408分析记录
抖音app先是检测了你的手机cpu架构,是x86还是其他,通过cpu架构的不同来调用so内不同的xg方法,所以导致现在最新版抖音app的xg算法有0408和8408两种。xgorgon生成算法主要在libcms.so中,在JNI_Onload中动态注册jni函数。算法用ollvm混淆了,主要是流程平坦化,流程混淆和运算替换。主要是X-Gorgon和X-SS-STUB.之后经过抓包抖音接口,查看Java层,so层代码。X-SS-STUB是post请求时body部分的md5值,但是在为空的情况下,有时候
2021-06-21 09:12:37
1163
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人