- 博客(23)
- 收藏
- 关注
RSS订阅转载 Owhat sign参数分析
需求:Owath进行商品购买时,psot提交的参数,有个sign,分析生成的算法。1)点击商品购买后,进行抓包。2)搜索sign定位赋值函数,OWAPIParamsDict paramsDictWithServiceName:serviceMethod:requestTime:timeStamp:sign:dataDict:3)往上追溯,sign生成函数为 OWOrd...
2019-08-08 16:37:00
714
转载 ARM寄存器
ARMv8-A把64位架构支持引入到ARM结构中,包括:A、31个64位通用寄存器:X0~X30;其中,X30也作为过程连接寄存器PLR(Produce Link Register)使用;B、栈指针寄存器SP(Stack Pointer);C、程序计数器PC(Program Counter);D、64位数据处理和扩展的虚拟寻址;E、两种主要的执行状态:AArch64: 64位执行状...
2018-06-22 14:59:00
813
转载 逆向碰到3des分析
1.ios 某个app碰到涉及3des的解密函数。2.底层调用的库函数。3.对比CCCrypt的头文件CCCryptorStatus CCCrypt( CCOperation op, /* kCCEncrypt, etc. */ CCAlgorithm alg, /* kCCAlgorithmAES128, ...
2017-12-06 16:04:00
214
转载 .net的程序的逆向分析。
背景:碰到一个由c#写的exe,由于之前没有分析过.net的程序,记录下分析流程。1)peid加载判断类型,可以看出没有加壳。2)搜索c#的反编译以及调试工具。 1.NET.Reflector以及reflexil(安装reflexil.for.Reflector.2.1.AIO.bin) 2.使用reflexil进行修改指令后导出。(无法运行,蛋疼!) 3.下载ILSp...
2017-11-13 10:13:00
332
转载 三星手机root后开启调试模式
背景说明:三星手机高版本的手机进行root后也无法安装xposed,无法开启debuggable,使用androistdio无法进行调试。1 .连接ddms无法显示正在运行的进程。2.安装mprop (在init时进行ptrace修改ro.debuggable)后可以显示进程进行调试。转载于:https://www.cnblogs.com/kon...
2017-11-10 15:13:00
246
转载 iPhone微信防止撤销插件开发
导语:随着移动时代的发展以及微信的普及流行,越来越多的用户使用微信发送消息,但经常出现撤销消息的情况。因此需要一款微信防止消息撤回插件,微信用户可以防止对方撤回消息,看到对方发出的任何消息,妈妈再也不用担心对方骂完人就撤回消息了!分析的步骤:1)加载微信ipa,搜索撤销涉及的可疑函数进行分析。(偷懒方法正常要去界面搜索按钮绑定事件)2)撤销的英文为revoke,在下...
2017-11-01 11:08:00
1414
转载 Android oat文件提取转换
说明:1.手机厂商可以修改Android源码并进行编译后再生成oat格式文件在手机上存储,比如boot-okhttp.oat,boot-framework.oat。2.自带的apk可以调用这些模块提供的自定义接口进行操作。3.如何从oat中提取出需要smali文件并知道调用了哪些接口。操作:1)打开/system/framework/oat导出oat文件.2)打开...
2017-10-30 10:35:00
574
转载 dumpdecrypted进行砸壳
1.下载源码git clone git://github.com/stefanesser/dumpdecrypted/2.进行编译生成 dumpdecrypted.dylibmake3.将dumpdecrypted.dylib用ifunbox拷贝对应app的Docements目录下修改权限执行命令DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib ...
2017-08-28 11:53:00
150
转载 ios跟踪工具introspy使用
1.cydia安装introspy,前提要安装Applist (雷锋源) 2.设置中有introspy-Apps instrospy-Settings选项。 可以选择需要跟踪的app以及跟踪内容3.用Introspy-Analyzer分析其结果 1) 安装 sudo pip install git+https://github.com/iSECPartne...
2017-08-11 18:05:00
226
转载 LLDB 常用命令
dump:memory read --force --outfile [文件名] --binary [start_address] [end_address]查找函数地址:对于有调试符号的这样使用image lookup -r -n <FUNC_REGEX>对于无调试符号的这样使用:image lookup -r -s <FUNC_REGEX&...
2017-08-11 15:46:00
136
转载 某Android手游的lua源码逆向分析与还原
近日分析某一款Android上面的手游,反编译后再起asset目录下可以看到加密过的脚本,lib目录下发现lua的so 初步怀疑其使用lua脚本实现的解密函数定位动态跟踪解密函数流程静态分析解密函数流程编写程序进行解密lib目录下so的名称1. 解密函数定位。IDA加载SO,导出函数搜索关键字loadbuffer,定位到lua脚本加载的地方。Android so...
2017-07-20 11:14:00
923
转载 Android 淘宝搜索记录分析及千牛数据库名称关联
一 taobao搜索关键字分析1.导出淘宝数据文件夹。2.搜索search 找到search文件夹。查看里面可疑文件如history_8d4255cc9c9199c6ec3be940936986b9。3.adb rm 删除该文件断网后无法查看宝贝历史搜索记录。4.全盘搜索关键字没有定位到。(猜测淘宝用插件方式实现子模块功能在lib下的so其实就是apk)二 加密文件算法。...
2017-01-17 18:53:00
291
转载 Android Stdio 调试Smali
一 安装插件1)Android stdio 安装插件二 反编译smali1)java -jar baksmali-2.1.2.jar app-debug.apk -o test/src2)android stdio 加载(test)smali文件。3)增加一个Remote 设置端口4)11802是apk运行时端口。5)adb ...
2016-11-15 20:19:00
140
转载 Frida HOOK微信实现骰子作弊
由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊。1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显示数字。代码中我是传进的参数是4,显示为8。package com.example.fridatest;import android.support.v7.app.Acti...
2016-10-25 23:56:00
1893
转载 Android 千牛数据库分析
标签(空格分隔): 千牛,逆向问题:Android 千牛登陆后产生保存用户数据的db无法直接用sqlite3打开,需要解密。反编译Apk后jd-gui查看源码。熟悉的sqlcrypto模块加密,阿里大部分的apk数据库都采用这种方案。Sqlcrypto加密方案,由java层生成一个16位的秘钥,传入libdatabase_sqlcyrpto.so加解密。关键点获取该秘钥进行解密...
2016-10-19 14:48:00
730
转载 window frida安装
当需要安装第三方python包时,可能会用到easy_install命令。easy_install是由PEAK(Python Enterprise Application Kit)开发的setuptools包里带的一个命令,所以使用easy_install实际上是在调用setuptools来完成安装模块的工作。1.安装easy_install:1)进入Python官网https://...
2016-10-14 15:27:00
172
转载 Android_server提示端口被占用
root@android:/data/local/tmp # ./android_serverIDA Android 32-bit remote debug server(ST) v1.19. Hex-Rays (c) 2004-2015Listening on port #23946...另开命令行进行tcp端口转发:adb forward tcp:23946 tcp:2394...
2016-10-11 14:47:00
202
转载 Android stdio Apktool源码编译
Android Apktool源码编译标签(空格分隔): Android Apktool 源码编译需求习惯NetBeans调试smali需要用Apktool反编译apk,需要用-d的参数才能生成.java文件。下载最新的Apktool.jar,运行后提示smalidebugging已经从Apktool去掉了。尝试早期版本,存在bug需要源码调试修复。编译过程遇到的问题1.从g...
2016-10-09 20:18:00
243
转载 Android ooVoo Apk附件关联分析
为什么要分析附件关联发送和接收的图片以及头像等从网上下载的存储在手机的sdcard上面以转换后的名字命名,需要分析数据库中的记录所对应的sdcard的文件才能关联。比如数据库存储是http://oovoo/1234.tset.pic 手机上是4ed9e7934f71bf0fafdc05136e7a67eb.jpg1. 反编译Apk后打包1)用apktool反编译后重新打包。jav...
2016-08-26 14:37:00
183
转载 Android 天猫apk聊天数据库解密
1.使用Android 天猫apk 进行聊天会产生tmallWangXinDB的数据库。2.用sqlite3 工具打开提示加密或者错误。3.需要对该数据库进行解密。解密流程:1.反编译apk,dex2jar工具及smali 文件夹中搜索都没有tmallWangXinDB 关键字。2.用IDA打开可疑的名称so,分析发现是个apk。3.反编译该apk及查找对应的关键字。4....
2016-08-08 19:29:00
364
转载 cocos2d-x-2.2.6 project-creator文件夹下python.bat
1 @echo off 2 set /p projectName=请输入项目名称: 3 if "%projectName%"=="" goto inputError 4 set /p packageName=请输入包标示名: 5 if "%packageName%"=="" goto inputError 6 create_project...
2014-12-22 21:54:00
112
转载 Android 启动后页面跳转
1.LoadingActivity public class LoadingActivity extends Activity implements Handler.Callback{ private Handler mHandler; private Timer mTimer; private View mView; public...
2014-08-31 22:04:00
147
转载 android 手机去哪儿7.2版本客户端 账号存储信息分析
1.data/data/com.qunar sharepref 文件夹下的Qunarperferences.xml文件中 username,phone等均为加密处理过字段2.jdgui下查找关键字_phone的函数3.分析读取sharepref函数及java层加密函数以及调用native 函数。4.加载对应so,分析导出函数 jni动态注册所绑定的...
2014-07-15 23:51:00
95
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人