2019年2月360加固逆向分析

最新推荐文章于 2023-07-17 00:00:59 发布
最新推荐文章于 2023-07-17 00:00:59 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: Android 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19683651/article/details/87180640
版权

vmp

vmp调用api的时,会跳出vm,所以可以不关注vm逻辑运算,直接追踪vm调用用了哪些api,从而分析壳,从jni_onload中一步步跟进在_Z10__fun_a_18Pcj中文件偏移0x0000FF00和0x00010060 处是vm函数调用,在此下断。

软中断

由于api有可能会被下断,所以可以采取软中断方式实现系统调用,arm下是svc,等ida解析完成so,搜索这条指令,会发现有open、mprotect还有个syscall。
在这里插入图片描述

反调试

tracerid

0x6850 打开/proc/self/status文件,获取tracerid,修改读取的内容,在读到tracerid时修改为0

时间检测

0x6C9C 时间差大于3,则退出
在这里插入图片描述

rtld_db_dlactivity

0x00024F4 rtld_db_dlactivity这个函数默认情况下为空函数,这里的值应该为0,而当有调试器时,这里会被改为断点指令,所以可以被用来做反调试。在函数sub_24F4中,libjiagu.so查找rtld_db_dlactivity函数的地址的,获取到rtld_db_dlactivity的地址,将其修改为nop指令0x46C0。

so动态加载

so从内存中加载,肯定需要mprotect赋予执行权限,之前已经分析过svc实现mprotect,所以在mprotect时找到代码段,从内存中dump出以下二进制文件如下。


对比正常的elf头
在这里插入图片描述
发现出现很多0x4f,尝试与0x4f异或,可以直接解出elf头,用010editor 解析出错,说明dump的尚不完整,于是在沿着内存dump下去,直至能够成功解析。

ida打开完整的so,没有报错。
在这里插入图片描述
jni动态注册,都在第二个so中,后面的动态加载dex文件基本上没什么区别。

浅浅徘徊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360加固之libjiagu.so脱壳及dex dump
燕十二的BLOG
11-17 2万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
逆向-360逆向writeup
Night May Say
04-09 2235
Crackme逆向分析逆向第一题,很简单,分分钟能搞定。题目大致是说找一个key,提示success就行。 Peid查一下没有任何壳,是vc写的程序,里面没有知名的算法。开始分析 错误的时候是这个样子 首先这一点就能给我们以下几点提示: 1此程序是vc写的,那么得到用户输入肯定是用到getdigitemtext系列函数,通过对函数下断即可以得到用户的输入 2.比较字符串,提示错误的字符
android zbar so库包含64、32位,jar包
09-23
android Zbar 含64、32位so库、jar包等,由于不会编译,智能拿来,全在csdn,积分太高买不起,积分定1分,分给想用而没有积分的
【Java】如何通过一次请求获取多张图片
CN_016的博客
07-17 2万+
该方案的优点在于能够在一个请求中同时携带多张图片的数据,能够减少代码的编写和更加易于维护的特性不足在于Base64编码的图片体积会比原图片大1/3,会多出部分的网络流量使用。
360加固分析(一)
yusakul的博客
01-10 2630
分析某个app,发现加了360的壳, 一 准备 调试之前的准备工作 二 分析jiagu.so 加载完jiagu.so文件后,断在了linker区段 JNI_OnLoad处下断点断下后单步调试:_Z9__arm_a_1P7_JavaVMP7_JNIEnvPvRi ——> _Z9__arm_a_0v ——> _Z10__fun_a_18Pcj 函数 _Z10__fun_...
Android 客户端起HttpServer NanoHttpd
热门推荐
qq_15950325的博客
10-28 25万+
最近接到客户那边需求,说需要实现一个java后端请求android客户端,android客户端作为微型Web服务端,听起来真的很刺激,后面去网上查找一些资料,了解NanoHttpd是怎么回事?NanoHTTPD是一个免费、轻量级的(只有一个Java文件) HTTP服务器,可以很好地嵌入到Java程序中。支持 GET, POST, PUT, HEAD 和 DELETE 请求,支持文件上传,占用内存很...
360加固分析(二)
yusakul的博客
01-11 2632
上一次调试各种手抖F9跳过了许多关键内容,这次继续。 case31分支 case31分支中每一次设置的LR寄存器地址都不一样,反调试验证等手段大都在这里进行跳转。 1: 验证加载的so文件是不是libjiaguXXX.so 单步跟,一直到case32中进入函数sub_75CEA9FC里发现处理结果的分支: R4跳转为raise函数,向进程自己发送SIGKILL(9)信号来终止进程。但是我...
关于逆向360相关的一点感想
weixin_30706507的博客
03-27 206
前两天,在忙一个东西,逆Win10设置默认浏览器的一个算法, 这个算法是设置Win10操作系统最新版本的默认浏览器,所以肯定是微软自己的算法,360要么有源码,要么逆向出来的。 因为,涉及到一些不该说的东西,所以我就不贴代码了,微软的那个算法应该是叫CS64吧,应该不是公开的,管他呢,反正我就这么叫了。 首先,其实我是照着360的代码逆的,但是真的很可怕,360的代码真的很烂, 不要...
根据”so劫持”过360加固详细分析
雪一梦的博客
01-06 3417
参考:https://bbs.pediy.com/thread-223699.htm http://blog.csdn.net/luoshengyang/article/details/8923483 一:思路分析:     一个经过360加固的APK的运行过程应该为图中左边所示,在以上这种so劫持的思路为:第一步通过hook loadlibrary方法先加载自己的so,即:libh
某数字公司VMP脱壳简记---native的OnCreate还原
zhangmiaoping23的专栏
01-17 3329
360加固-脱壳修复 最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了壳代{过}{滤}理,没有一点原APK的代码。在assets中,有两个壳相关的SO...
360加固逆向脱壳之过反调试-附件资源
03-02
360加固逆向脱壳之过反调试-附件资源
Jenkins自动构建所需360加固
01-08
Mac版本360加固助手,包含Jenkins自动构建所需jar包。
360加固保1.3.9.0.zip
06-05
360加固保为移动应用(APP)提供一站式安全服务,涵盖应用加固、漏洞扫描、文件加密、盗版监控、崩溃日志、安全组件等,保护开发者的业务安全、应用安全,帮助移动应用远离盗版、恶意破解、反编译等。 文件适用Windows、...
360加固加固APP工具.rar
08-31
360加固加固APP工具
android开发应用程序加固360加固宝软件加固,apk加固
最新发布
09-06
android开发应用程序加固360加固宝软件加固,apk加固
360加固助手
07-06
360加固助手,主要用于自己留着使用,当然可以广大用户随意下载
干货!一文了解安卓APP逆向分析与保护机制
02-24
安卓APP安全包含很多内容,本次分享了混淆代码、整体Dex加固、拆分Dex加固、虚拟机加固等方面。事实上,这些内容也是国内近几AndroidApp安全保护的一种主要趋势。Java代码是非常容易反编译的,作为一种跨平台的、...
用于app加固,防止反编译,逆向分析
01-11
用于app加固,防止反编译,逆向分析
360加固3.2.2.1兼容Mac10.15.zip
11-13
Mac10.15使用360加固提示APK解析失败,无法通过aapt检测。null 或者无法打开“aapt”,因为无法验证其完整性,需要更新至 3.2.2.1 https://blog.csdn.net/wds1181977/article/details/103052076
怎么逆向360加固的apk
05-10
逆向360加固的 APK 需要一定的逆向工程技术和知识,以下是一些可能的操作步骤: 1. 解压 APK 文件:使用 APK 解压工具,将 APK 文件解压成文件夹。 2. 反编译:使用反编译工具,将 APK 文件夹中的所有 .dex 文件反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值