【移动安全】ida idc脚本实现加密指令修改

最新推荐文章于 2024-07-14 10:18:02 发布
最新推荐文章于 2024-07-14 10:18:02 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: MobileSecurity 文章标签: 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiayanhui2877/article/details/49779925
版权
针对移动应用中使用mprotect保护的加密函数,通过ida调试跟踪获取解密后的内存数据和加密算法,使用IDC脚本进行内存数据和指令的修改。脚本执行后,可在UE中永久修改SO文件,简化后续调试工作。
摘要由CSDN通过智能技术生成

移动应用中对so文件,有些函数用了mprotect进行保护,即将加密数据解密后再在内存执行,然后再将内存数据加密后写回原位置,通常解密后数据具有反调试功能。
破解应对措施:ida调试跟踪后内存加密数据解密还原及加密算法提取完毕后,将密钥的内存数据和修改后的内存数据地址作为idc脚本输入,打印输出生成的加密数据或指令,从而利用UE修改so,实现永久修改的目的,后续直接跟踪调试so即可。

将下面的脚本保存为xx.idc后在ida中shrift+F2导入执行即可。

import idaapi
import struct


#input 
def dump24c8(start, len, key, target):
 rawInc = idaapi.dbg_read_memory(start, len)
 offset = start-0x70d1a4c8
 rawIncByte = bytearray(rawInc)
 rawIncHex = struct.unpack('<I', rawInc)[0]
 print 'rawIncHex is ' + str(hex(rawIncHex))

 rawkey = idaapi.dbg_read_memory(key, 0x6C)
 rawkeyByte = bytearray(rawkey)  
 #rawkeyHex = struct.unpack('<I', rawkey)[0]
 #print 'rawkeyHex is ' + str(hex(rawkeyHex))
 #rawdex = "hello"
最低0.47元/天 解锁文章
Walter_Jia
关注
专栏目录
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1228
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
几个常用idc脚本
10-25
在这里汇总了几个我工作中常用idc脚本,大家一起共同进步
3.1 IDA Pro编写IDC脚本入门
CSDN
11-11 5279
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
IDC脚本
最新发布
SXXYNHHXX的博客
07-14 717
脚本命令打开处(上面图片)代码展示(上面)右键可以查看其功能运行步骤及输出位置IDC是一种类型松散的语言,这表示它的变量木有明确的类型,IDC使用3种数据类型;整数(ida文档使用类型名称long),字符串浮点值,其中绝大部分的操作针对的是整数和字符串。字符串被视为IDC中的本地数据类型,因此,你不需要跟踪存储一个字符串所需要的空间,或者一个字符串是否使用零终止符。在使用任何变量之前,必修先声明这个变量。
IDA脚本一页纸(IDC+IDAPython)-示例版
可乐松子的博客
06-01 3777
IDA脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的,一种支持python的 运行结果,符合预期 脚本2:枚举指令 运行结果,符合预期交叉引用实际上是有2个方向的:下面是交叉引用常使用的函数或者宏在的节选片段 test 1:向上枚举调用方 运行结果:明白了上面的示例,这个示例也很容易,就是更改一下函数 运行结果:下面是一个典型的文件的格式,《IDA Pro权威指南第二版》的13章 扩展IDA的知识有详细介绍每个函数的信息会存储在一行,基本格式: + + + + ,这些如果你看过PE
IDC 自动化动态调试&&IDC 常用的脚本
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-20 229
StepOver` 函数用于执行当前指令,并将光标位置移到下一条指令处,如果当前指令是一个函数调用,则会执行该函数并立即返回到函数调用后的下一条指令。- `type`:断点类型,可选值为 `BPT_SOFT`(软件断点)或 `BPT_HARDWARE`(硬件断点),默认为软件断点。- `cnd`:运行到地址的条件,一个 C 语言表达式字符串,默认为 `NULL`;- `len`:断点的长度,默认为 `0`,表示断点长度为 1 字节;- `func`:运行到的函数名,一个字符串,默认为 `NULL`。
IDA Pro脚本IDC教程
weixin_43767456的博客
11-17 570
让我们来了解一下什么是IDC脚本IDCIDA Pro中的一种脚本语言,用于自动化处理和操作反汇编的二进制文件。
IDA利用IDC分析加密代码.doc
07-16
IDA利用IDC分析加密代码.doc
利用ida内置脚本IDC静态调试和Linux内核动态调试gdb两种方法解决攻防世界no-strings-attached
m0_50971344的博客
02-03 2509
利用ida内置脚本IDC静态调试和Linux内核动态调试gdb两种方法解决攻防世界no-strings-attached 一、首先来看静态调试的解决办法 1、文件识别 直接拖进PE识别工具 elf/32位 可以看出不是window可执行的PE文件,而是以Linux为内核的ELF文件,要在Linux系统下进行运行。 2、进行汇编与反汇编 话不多说,程序直击拖进ida.(注意这里的程序是32位的,要用32位ida来进行反汇编) 加密是对s和dword_8048A90进行操作 s代码段 由于我们一个一个读取
IDA+VM调试分析主引导区病毒key加密算法
want的博客
08-04 768
#1.修改虚拟机vmx配置,后面附加上 debugStub.listen.guest32 = "TRUE" debugStub.hideBreakpoints = "TRUE" bios.bootDelay = "12000" bios.bootDelay = “12000” 表示12s延时等待IDA远程连接调试,默认端口为8832. #2.因为IDA默认反汇编是32位,而MBR是16位汇编代码,所以需要调整 #3.在mbr载入内存处0x7c00处下断点 #4. ...
ida脚本解析器,用来分析ida脚本
07-27
ida脚本解析器,用来分析ida脚本
python界面化内存dump_菜鸟Dump Memory python 脚本
weixin_33603963的博客
01-15 415
直接用就行,改改地址啥的from idaapi import *from idc import *import structdef dump_memory(filename,start_add,size):fd=open(filename,"wb")for i in range(0,size,4):ea=start_add+ibuf=idaapi.dbg_read_memory(ea,4)fd.w...
IDA脚本IDC的一个简单使用
weixin_34004750的博客
12-12 561
目的:主要是想学习一下IDAIDC脚本的使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
菜鸟Dump Memory python 脚本
wruih的博客
08-12 1208
直接用就行,改改地址啥的 from idaapi import * from idc import * import struct def dump_memory(filename,start_add,size):     fd=open(filename,"wb")     for i in range(0,size,4):         ea=start_add+i  
IDA 字符串解密脚本
BpLife
11-21 5503
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120 .text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty" 这两个地址字符串被加密
IDA中动态调试下断点——技巧
qq_34108752的博客
09-25 6106
首先到入口函数 按F5到 伪C代码 然后在伪C代码中 找到 要下断点位置 选中 然后按 TAB 键 就切换到 IDA View 窗口相应位置了 然后在这下断点 同理 如果是要到 入口函数里的 关键函数里去下断点 先双击 入口函数里的 关键函数 进入 关键函数 伪C代码处 然后在要下断点的 关键位置 选中 然后按 TAB 键 就切换到 IDA View 窗口相应位置了 然后在这下断点 能提高很大...
IDA plugin C++ calls Python
qldxsun的博客
03-08 456
IDA插件C++调用Python模块 背景 不科普,具体问题参考http://www.hexblog.com/?p=788 实现 基础工作 blog中写的比较清楚 使用 PyGILState_STATE state = PyGILState_Ensure(); RunPyCode(cmd); PyGILState_Release(state); 主要是PyGILSt...
ida idc函数列表全集
weixin_33781606的博客
06-02 375
下面是函数描述信息中的约定: 'ea' 线性地址 'success' 0表示函数失败;反之为1 'void'表示函数返回的是没有意义的值(总是0) AddBptEx AddBpt AddCodeXref AddConstEx AddEntryPoint AddEnum AddHotkey AddSourceFile AddStrucEx ...
IDA脚本基础:IDCIDAPython实战
"本文介绍了IDA软件中的脚本基础,特别是IDA脚本语言IDC,并提到了IDAPython作为另一种脚本编写选项。文章讨论了执行脚本的常见方式,包括通过菜单选项和命令行,以及IDC的基本数据类型和变量声明。此外,还简单提及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值