360脱壳_之memcmp

最新推荐文章于 2020-12-28 22:17:41 发布
最新推荐文章于 2020-12-28 22:17:41 发布
阅读量451 收藏 1
点赞数
分类专栏: 脱壳加固反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34108752/article/details/101537854
版权
auto fp,addr_start,addr_now,size,addr_end;addr_start = 0x62509000;size = 0x6A7968;addr_end = addr_start+size;fp=fopen(“C:\dump.dex”,“wb”);for(addr_now = addr_start;addr_now<addr_start+size;add...
摘要由CSDN通过智能技术生成

auto fp,addr_start,addr_now,size,addr_end;
addr_start = 0x62509000;
size = 0x6A7968;
addr_end = addr_start+size;
fp=fopen(“C:\dump.dex”,“wb”);
for(addr_now = addr_start;addr_now<addr_start+size;addr_now++)
fputc(Byte(addr_now),fp);

在IDA中
搜索关键字
memcmp
在这函数下第一行汇编指令下断点

为什么要在memcmp 下断点呢?
在这里插入图片描述

Hex View窗口里 右键 chronize with R0
按F9运行
注意观察 R0值
出现 dex.35 关键字时 要注意观察了
dex.35这行 十六进制 下 第三行(dex.35这是第一行) 前8个字节 就是dex的大小
观察下 这个值的 大小 注意 这个值
在内存中 数值是 按 endian放心 存放的 就是 高低位切换的
然后看下 这个值的大小 一般来说 dex都有 几M 即几千KB的 字节
然后 再对比下 原classes.dex的 大小
首先 要跟原dex不一样 二个大小要在合理大小
会出现 多个 dex.35关键字 注意
然后出现 可疑的 时候 这时我们 dump出来 用IDA的 script 命名
FILE->SCRIPT CMOND 即出来
在里面 输入 脚本

auto fp,addr_start

最低0.47元/天 解锁文章
乡村隐士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360加固之libjiagu.so脱壳及dex dump
燕十二的BLOG
11-17 2万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
360二代加固脱壳方法总结
热门推荐
雪一梦的博客
05-29 1万+
二代加固的难度有所增加,最明显的地方就是qihoo下面增加了一个Configuration.smali文件。由以前的一个增加为两个。 脱壳时有几个关键的so: 1.libc.so(主要是提供一些系统函数,比如open、fopen、fget等等); 2.libdvm.so/libart.so(主要是Android中的系统so,也是重要的Android虚拟机中的重要的so,由于Android有java层面要跟本地层进行交互时,因此这里面的很多系统函数很重要,比如libdvm.so中的dvmdexfileopen
360加固保的dex脱壳方法
Fly20141201. 的专栏
11-13 1万+
360整体加固classes.dex后的apk程序的特点,以超信1.1.4版本为例。360加固以后,会在apk的assets文件的路径下增加两个文件libjiagu.so和libjiagu_x86.so以及修改原apk的AndroidManifest.xml文件的application标签增加两个元素。 360加固脱壳需要完成两个任务,一个任务是过掉3
Android常见App加固厂商脱壳方法的整理
Fly20141201. 的专栏
12-11 1万+
目录 简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳 简述 Apk文件结构Dex文件结构壳史壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第一代壳常见的脱壳
常见App加固厂商脱壳方法研究
煜铭2011
10-04 4811
目录 简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳 简述 Apk文件结构Dex文件结构壳史壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第一代壳常见
常见android app加固厂商脱壳方法研究
SingleShu的博客
12-08 1551
这篇文章主要介绍了常见android app加固厂商脱壳方法研究,需要的朋友可以参考下 目录简述(脱壳前学习的知识、壳的历史、脱壳方法) 第一代壳 第二代壳 第三代壳 第N代壳 简述Apk文件结构Dex文件结构壳史壳的识别Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader 第二代壳 Dex抽取与So加固 对抗第...
IDA pro脱壳实战过反调试
daide2012的博客
07-28 7399
IDA pro脱壳实战过反调试标签(空格分隔): Apk逆向1. 前言之前总结了IDA pro脱壳的基本步骤,包括调试步骤和在libdvm.so的dvmDexFileOpenPartial函数出下断点,从内存中dump出dex文件。 这次以360一代加壳为例,试着在mmap出下断点和过一些基本的反调试技术。2. 脱壳环境搭建这里的环境搭建和上一篇博客一样http://blog.csdn.net/d
android elf 加固_Android常见App加固厂商脱壳方法的整理
weixin_42433529的博客
12-28 520
目录简述(脱壳前学习的知识、壳的历史、脱壳方法)第一代壳第二代壳第三代壳第N代壳简述Apk文件结构Dex文件结构壳史壳的识别Apk文件结构 Dex文件结构 壳史第一代壳 Dex加密Dex字符串加密资源加密对抗反编译反调试自定义DexClassLoader第二代壳 Dex抽取与So加固对抗第一代壳常见的脱壳法Dex Method代码抽取到外部(通常企业版)Dex动态加载So加密第三代壳 Dex动态解...
常见app加固厂商脱壳方法研究
zhangmiaoping23的专栏
09-25 1189
转自:http://www.mottoin.com/89035.html 目录 简述(脱壳前学习的知识、壳的历史、脱壳方法) 第一代壳 第二代壳 第三代壳 第N代壳 简述 Apk文件结构 Dex文件结构 壳史 壳的识别 Apk文件结构 Dex文件结构 壳史 第一代壳 Dex加密 Dex字符串加密 资源加密 对抗反编译 反调试 自定义De...
safebfuns:在 GCC 和 Clang 中实现explicit_bzero、timingsafe_bcmp 和timingsafe_memcmp
06-18
这个存储库包含一个 C 源文件和头文件,它们定义了explicit_bzero 、 timingsafe_bcmp和timingsafe_memcmp 。 它们包括预处理器指令,以确保调用不会在程序之外或以其他方式进行优化。 它目前用于: 海湾合作委员...
C语言函数memset,memset,memcmp,memmove,memchr,memrchr,memccpy等使用
最新发布
05-13
1、C语言函数memset,memset,memcmp,memmove,memchr,memrchr,memccpy等使用。 2、memset() 函数: void *memset(void *ptr, int value, size_t num) 该函数将指定内存区域的内容设置为特定的值。参数 ptr 是...
mem.rar_memset _mem分类
09-14
描述提到,它包含了几个这样的函数的简单实现,如`memcpy`、`memcmp`、`memset`以及`strtrim`。这些函数都是C语言标准库中的关键组成部分,用于处理内存块的复制、比较和清理,以及字符串的修剪。 `memset`函数是...
strncat strncpy strncmp memcpy memcmp 比较及其原型
01-10
strncat、strncpy、strncmp、memcpy、memcmp 等字符串操作函数是 C 语言中常用的函数,它们分别用于字符串的连接、复制、比较和内存复制等操作。下面将对这些函数的原型和实现进行详细的分析。 首先,strncat 函数...
rust-memcmp:整数切片的优化比较
06-11
Rust-memcmp 整数切片的优化比较。 使用 memcmp 有效地比较整数切片。 解决方法。 ###Baseline PartialEq 比较:####test test::u8_slice_cmp ... bench:2201 ns/iter (+/- 113) = 454 MB/s #[bench]fn slice_cmp ...
So自加密解密(找不到JNI_Onload 跟 init_array)
qq_34108752的博客
09-30 2929
Shelldemo.apk 里 libdemo.so 看到 getString 这个函数 下面是一堆DCD 行 说明这个函数 被加密了 那么如何得到它真实的 函数样子了? 我们得知 在运行的时候 so被加载的时候 是要先被解密 然后加载进内存的 我们就想到 在 libdvm.so 系统so 里的 loadnative(是关键字不全)这个函数里 这个函数里 有去加载 apk的 so的 J...
内存中提取SO(so里代码被加密时解决办法)
qq_34108752的博客
09-30 2468
当碰到So里代码 被加密时 我们怎么处理了 如何得到解密后的东西了 思路是这样: 当程序运行时 so被加载的时候 这时候 加载到内存中的时候 的so是解密后了的 那么我们就在 动态调试时 加载了这个so后 到Module 模块列表里 找到 这个so 可以看到 它的 Base 和 Size 通过这两个值 so在内存中的起始地址 和 这个so的大小 我们就可以 dump出来 解密后的 so 用...
爱加密脱壳
qq_34108752的博客
10-01 2099
关键字:libdvm DexFileOpenPartialPK fopen 样本:MtkEditer原版.apk 反编译 查壳 有爱加密壳 脱壳: 0x1: adb shell su chmod 755 /data/local/tmp/as /data/local/tmp/as 0x2: adb forward tcp:23946 tcp:23946 0x3: adb shell am st...
小米商城_类抽取分析(插件plugin动态解密)
qq_34108752的博客
09-29 481
一些app 希望能动态加载 或者说是 增加逆向难度 把部分类 写到插件里 实际用到的时候 再把插件加载到 内存里去 然后再 xiaomi.apk 1: 先抓包 2: androidkiller反编译 搜索关键字 搜索不到 再多搜几个关键字 发现 还是搜不到 那么这是什么原因了 这时我们就要想到 是 部分关键类 被 抽取了 然后我们 到 assets 文件夹里 看到 有 plugins 文件夹...
uint8_t Public_Memcmp(uint8_t *Dst, uint8_t *Src, uint8_t len); 作用
03-30
根据提供的引用内容,函数`Public_Memcmp`的作用是比较两个内存块的内容是否相等。它接受三个参数:`Dst`表示目标内存块的指针,`Src`表示源内存块的指针,`len`表示要比较的字节数。 函数的返回值是一个`uint8_t`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值