小密盾简单逆向分析

最新推荐文章于 2023-08-10 10:50:05 发布
最新推荐文章于 2023-08-10 10:50:05 发布
阅读量3.9k 收藏 5
点赞数 3
分类专栏: android逆向安全 Android 代码保护与逆向 文章标签: Android安全 小密盾 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feibabeibei_beibei/article/details/80397912
版权

前几天出了个小密盾,针对插件加固的,好奇的简单分析了一下,写了个样本简单的加固了一下,以下是分析过程。

小密盾简单逆向分析

一:静态分析

   

静态分析发现,根据这些函数参数很多函数进行了加密,并且新加了几个节,接下来动态分析。

二:动态分析

由于JNI_Onload经过了加密,因此可以猜测在.init/.init_array处经过了加密处理,不需要仔细分析这些加密算法,在JNI_Onload处下断,果然在内存中解密,进行Dump分析,经过简单的修复以后在IDA可以看到如下:

接下来分析这个JNI_Onload函数,看到sub_76CC这个函数的主要作用是获取设备信息以及其他信息等,不重要,继续往下分析。

 

接着继续_Z11Qlo4ud9Qs5GPhi这个函数,到这个_Z6turninv函数里面。

会发现这块每次R3的地址为函数Qde2uk9QU5G的偏移地址不同,F7进去也没有发现什么信息。在这块浪费的好多时间,以为是做了什么虚拟处理,不同的偏移地址对应不同的Handler,在这块把R0的值改掉,继续往下分析。

会发现这里有JNI_Onload重要字符串,

接着继续分析Z11Qml5uk1kU9aP12MEMORYMODULEP7Cryptor函数,因为函数名感觉有点意思。到后面会发现,静态看加密的那些函数,解密以后大部分还是会走到_Z6turninv这个函数,总觉得turn节中的这个函数是重点。但是还没有发现作用在何处。

接着往下分析,走到这里,F7进去可以看到,会发现这不就是保护前函数的JNI_Onload嘛,

如果知道JNI动态注册应该都知道,R2寄存器地址很关键,可以看到0X75319D04是注册的本地层函数指针,因此跳过去可以看到,这是加固前的函数。因此这个加固在动态运行的时候还是会在内存中进行还原,分析到这里结束。

三、总结:

起初以为在前面收集很多设备信息是做二进制虚拟加固的一些匹配,毕竟官网有VM加固的说明,但是最后调试发现,主要还是做了加密,以加密为主,然后在内存中进行了还原。

 

不知世事
关注
专栏目录
js逆向案例-某盾
十一姐的博客
01-25 7828
一、某盾难点 本次实战网址: 点击链接 一、获取fp 首先https://c.dun.163.com/api/v2/get?id用于获取滑块验证码
Python针对Cloudflare的假5秒盾验证逆向
最新发布
u010263350的博客
09-22 3769
一旦有了这个"Just a moment"的验证页面,再f12打开查看,页面的请求方式就变成了post,而且包含一堆数据。先try get方法,等解析数据报错的时候except切换到Post方法,header,cookie,referer都全部切换。然后实例化方法运行,ok,pycharm里测试运行正常,然后pyinstaller打包exe本机测试可以运行。谷歌大法开启,搜just a moment,5秒盾。我满心欢喜的把exe包复制到win 2012服务器上运行,报错报错报错,草!我尼玛,困扰我几天了。
反反爬 | 如何巧过 CloudFlare 5秒盾?
阿拉修
02-10 5824
巧破 Cloudflare 5秒盾 相信下面这个界面大家都不会陌生。 当我们第一次访问使用 CloudFlare 加速的网站时,网站就会出现让我们等待 5 秒种的提示,当我们需要的通过爬虫爬取这类网站的时候,应该如何爬取呢? 分析请求 首先我们需要分析在这个等待的时间里浏览器做了哪些操作。 通过抓包,我们可以看到在等待的过程中,浏览器做了下面的三次请求【图1-2】- 【图1-4】: 【图1-2】请求 1 写入 cookie 字段 __cfduid 【图1-3】请求 2 带有疑似加密的请求参数请求并写入
爬虫反爬之5秒盾 - cloudflare
qq_33658268的博客
08-10 4611
爬虫反反爬之5秒盾 - cloudflare原创文章。
微盾解密程序
12-01
密文形式: $OOO0O0O00=__FILE__;$OOO000000=urldecode('th6sbehqla4co_sadfpnr');$OO00O0000=9952;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0'; 可解密
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
Android软件安全逆向分析_带书签_Android软件安全逆向分析_带书签_android_
09-29
Android软件安全逆向分析》是一本深入探讨Android应用安全逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
易语言逆向分析助手3.0
08-04
《易语言逆向分析助手3.0:深入解析与应用》 易语言逆向分析助手3.0是一款专为易语言编程爱好者和安全研究人员设计的工具,它旨在帮助用户理解和剖析由易语言编写的程序,进一步提升逆向工程的效率。易语言是中国...
逆向分析-扫雷游戏(含OD和CE逆向工具及源码)
07-30
该资源为逆向分析基本工具,包括OllyDbg和CE工具的利用,通过这些工具实现对扫雷游戏的逆向分析,希望对您有所帮助~ 推荐您结合作者的博客进行学习,参考文献:... PS:作者上传的均是0分资源,但官方网站随着下载人数...
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
简单逆向分析使用案例
12-13
简单逆向分析使用案例简单逆向分析使用案例简单逆向分析使用案例简单逆向分析使用案例 分析过程在http://blog.csdn.net/oBuYiSeng/article/category/5697351中的 简单逆向分析使用案例
cloudflare-5s盾分析
热门推荐
Ig_thehao的博客
02-18 1万+
文章目录前言一、流程分析第一个请求第二个请求二、注意事项总结 前言 5s盾逆向解析,参考链接 https://mp.weixin.qq.com/s/efloBirboVfH2hK3cNoU5A https://mp.weixin.qq.com/s/Bv8v7kbjX5NWWzdwCnwFHg 着重感谢wlb和小林哥的帮助 本文主要以小白身份对以上链接的分析补充 一、流程分析 目标网站: aHR0cHM6Ly9hZG1pbmRhc2hib2FyZC5tZXRhbGlua2VyZC5jb20vYXBpL3Y.
【编码】-小Ho的防护盾-2016.08.14
weixin_34007291的博客
08-14 139
题目 : 小Ho的防护盾 时间限制:10000ms单点时限:1000ms内存限制:256MB描述小Ho的虚拟城市正在遭受小Hi的攻击,小Hi用来攻击小Ho城市的武器是一艘歼星舰,这艘歼星舰会以T(T为大于0的整数)个单位时间的间隔向小Ho的城市轰击。歼星舰总共有N枚炮弹,其中第i枚会造成Ai点伤害值。 幸好小Ho的城市有K层护盾,每层护盾...
Android安全防护实用办法
yang_niuxxx的博客
01-11 1309
最近一直做安全方面的业务,有一些理解总结一下 安全防护的有效方式 1.混淆 ★★★★★ 最有用的方式之一,必须要做, a.注意配置字典,最好不要用特殊字符,jadx反混淆之后,特殊字符会很被改写,最好是oO0这个字典,github有很多, b.形参混淆,局部变量混淆,这些东西默认是不会被混淆的,需要人工来做 2.加固 ★★★ 免费的加固,基本上不管您是哪一家,都是白给,脱壳和加壳的技术一直是在对抗发展,但是免费的壳,用处十分有限, 现在的youpk方案脱壳机,对于免费壳都是一键...
移动开发必须要了解的易盾加固生态
weixin_34192816的博客
12-11 111
本文由作者余宝虹授权网易云社区发布。 移动开发和服务端开发不一样,移动开发打包后的代码安装在用户的手机上,这样一来就为黑客提供了分析的便利,主要存在下面几个比较大的风险:1 APK被逆向破解,去掉会员,计费等功能导致公司经济损失,甚至被二次打包为他人做嫁衣;2 APK自身数据存储和服务端通信过程中存在极大风险的数据被窃取的可能;3 APK...
TrueCrypt加密之后的取证方法(广东公安科技)
CnCrypt-TrueCrypt国内延伸版本
06-02 8140
TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法: 4.1 分析和检查是否有TrueCrypt加密之后的文件存在。 (a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件; (b) 搜索系统所
简单粗暴的so加解密实现
xxmbaobao1的专栏
02-11 2639
原文链接:http://bbs.pediy.com/showthread.php?t=191649&highlight=apk 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平,本菜没有找到安卓平台一些具体实现思路,这些方法都是借鉴其他平台的实现思路和本菜的YY,肯定会有不少疏漏和错误之处,还
逆向一个最简单的函数
weixin_40442110的博客
01-15 197
逆向一个最简单的函数,返回预定常亮应该够简单了。 C/C++代码: int f() { return 123; }; 0x01 x86 开启优化功能后,GCC编译器的汇编代码如下: f: mov eax,123 ret 这个函数只是两条指令构成:第一条指令把数值123存放到eax寄存器中;再根据函数调用约定,后面一条指令会把eax的值当做返回值传递给调用者主函数,调用者(Calle...
精通IDA逆向分析:从基础到高级
"IDA逆向分析.pdf" IDA,全名Interactive Disassembler Pro,是一款强大的逆向工程工具,常用于分析二进制代码,将其转换成可读性更强的高级语言形式,如C或C++。逆向分析是信息安全、软件调试和漏洞研究等领域的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值