AliCrakeMe 反调试代码解析

最新推荐文章于 2023-07-02 21:09:31 发布
最新推荐文章于 2023-07-02 21:09:31 发布
阅读量176 收藏
点赞数
分类专栏: 逆向 c++ GBK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36535153/article/details/119331251
版权

关于这个app 找key 网上有很多教程https://www.xuepojie.com/thread-48772-1-1.html
这里主要是分析一下这个app的反调试手法 以及代码的逻辑

1.这个app的反调试是放在jni_onload函数里面的 具体如下在这里插入图片描述

2.分析v3->field_4v4++; 这里的代码
使用到的结构体
struct MyFillData
{
int field_0;
void (*field_4[1])(void);
char field_8[28];
int field_24;
int field_28;
MyFillData *Next;
};
在 .init_array函数中 调用了这个sub_D4153378 给一些地址赋值在这里插入图片描述
sub_D4153378 又调用了sub_D41532AC
在这里插入图片描述

看看 sub_D41532AC 的实现逻辑 就是给FlagFillData指针赋值的
在这里插入图片描述
再给FlagFillData 填充完数据后
使用 v3->field_4v4++; 调用Get_FillFunAddr_sub_D4152CA8
在这里插入图片描述

4.再执行 tt_PthreadCreate(v9, 0, AntiDebug_sub_D41526A4, 0, 0); 在线程中调用AntiDebug_sub_D41526A4进行反调试
在这里插入图片描述
主要是检测进程的TracePid
在这里插入图片描述
调用kill函数 杀死进程
在这里插入图片描述

3.执行完 sub_D41527F4 函数后 这里的地址变成了0 为了防止看解密填充函数的过程
在这里插入图片描述

还好一切都可以重来
关注
专栏目录
如何绕过调试技术——学习回顾(1)
weixin_43742894的博客
04-09 3720
之前总结了一些常见的调试技术,调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解调试的方法,就是“调试”。 记录初次学习,以待后来温习。 调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过调...
安卓逆向学习笔记之分析AliCrackme_1
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
11-14 1736
一个2015年初级练手 Crackme,因此很简单,但是很有趣,因此记录一下。样本链接地址:https://pan.baidu.com/s/1PD_5K_gkT0FzBU8UhZb5bg...
stm32逆向与安全科普系列第一篇:bin文件逆向小试
karaxiaoyu的专栏
11-11 4174
来源:阿莫论坛,作者:ilovepp微信公众号:芯片之家(ID:chiphome-dy)首先你要有一个bin文件(bin文件的获取方法不在此展开介绍,今后有机会可以专门开一个贴聊一聊)。...
暑期规划
Ray的博客
07-12 664
回家住了八天,今天返校,学校里除了大三的实习的、考研的,似乎也没剩几个人了。 坐在图书馆里,突然又想起了高中班主任每次在暑假之前都会说的那句话,“这一段时间很关键,……”,后面几句不记得了,大意就是虽然现在是暑假时期,但是我们不放假,要留在学校补课,这段时间虽然很苦,但是好好努力的话会有很大的蜕变的。虽说高中毕业好几年了,但是还是很想跟自己说,“这一段时间很关键”。 回想这大学三年,每逢暑假,...
安卓Crakeme01逆向分析 FridaHook实战
December的博客
11-10 496
Crakeme01.apk包含了调试、RC4解密等内容,这次主要从题目角度入手,找出密码。IDA静态分析+Frida动态调试。 Java层大致浏览一下,可以看到很明确主要都在so层 打开IDA 加载so,首先查看导出函数 找不到对应的方法,查看JNI_Onload可以看到明显的动态注册 AD方法点进去可以看到很明显的防调试检测 这里ptrace 和检测23946端口,防止IDA动态调试 由于这里我们使用FridaHook密码,可以无视这里的调试。继续往下分析找到可疑的...
逍遥模拟器xposed 模块安装提示 Xposed无法载入可用的ZIP文件(Could not found ZIP files) 解决办法
热门推荐
qq_36535153的博客
08-16 1万+
1.下载对应的xposed的包 我们这里的版本是android7.1.2 API25 x86架构的 所以我们需要去下载对应的包 下载链接 https://dl-xda.xposed.info/framework/ 我这里下载的是这个zip的包 2.将包传入手机 adb push xposed\system\ /data/local/tmp/ 这里的路径根据你自己定义的来 我在模拟器里面安装了MT管理器 所以我就直接在管理器下操作 将META-INF\com\google\android\.
IDA编译的几个注意和技巧
qq_36535153的博客
04-08 1万+
IDA逆向程序的经验总结关于F5汇编代码不能转成c的伪代码的几个问题总结关于一些类型转换以及指针和地址的总结最可以拿来当教训的应该是 hide cast 功能1.jmpout的问题功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必...
frida 常用的一些demo 打印native 函数的堆栈 参数,返回值 等
qq_36535153的博客
09-14 9398
import frida, sys jscode = “”" var str_name_so = “libxxxx.so”; //要hook的so名 var str_name_func = “getxxxx”; //要hook的函数名 var n_addr_func = Module.findExportByName(str_name_so , str_name_func); console.log(“func ShowMessageBoxID addr is —” + n_addr
IDA7.0 显示中文的快捷操作
qq_36535153的博客
12-16 9300
打开IDA 在Options->General 选择Strings 在Default 8-bit 选择 这里我已经 输入了gbk 所以能显示中文了 如果你的IDA 没有GBK 那就 右键 然后Insert 输入你想要显示的编码 我这里输入GBK 显示中文就ok了
IDA7.5 无法打开解决方法
qq_36535153的博客
12-16 3189
1.在使用IDA7.5进行调试时,突然出现bug 意外退出,导致idb 无法打开 提示: Database for file ‘F:\dy1570\lib\armeabi-v7a\libmetasec_ml.so1216.id0’ is not closed. Do you want IDA to repair it? Please note that the repaired database will be upgraded to the current version of IDA and may
IDA 函数出现翻出来漏掉很多代码 或者出现jumpout 的处理方法之一
qq_36535153的博客
09-08 2767
如果出现有漏掉一大截代码的情况,那么我们需要查看漏掉的那部分的代码的汇编 看看跳转过去的代码是否在伪代码里面有显示 如果没有显示 且出现这种情况 end of function chunk for xxx 那么就需要手动修改 选择end of function chunk for xxx 下面的代码 按 快捷键 E 将下面的汇编 放到 上面的DataStream_Calc 函数里面去 这种情况可能会出现很多 需要不停的查找出现end of function chunk for xxx 的地方 然后
IDA 编译 将MEMORY[0x20006D3D]等类似的前面带有MEMORY的数组 改成其他的变量类型
qq_36535153的博客
10-28 2353
类似于这种的MEMORY 改成我们自己想要的变量类型 让编译更加流畅 解决办法:在IDA->VIEW->Open SubView->Segmengs 打开 程序段区 快捷键 shift-F7 然后再空白处 右键 Add segment 插入你自己的段名 选择段的起始地址和结束地址 插入segment 成功后 就可以看到如下的效果 就可以自己去修改这些地址的名称了 ...
IDA默认将编译的10进制数 转化成16进制数的设置
qq_36535153的博客
11-25 2339
再 Edit->Hex-Rays Decompiler->Options-> Default radix 改成 16进制
Ghidra踩坑记录
qq_36535153的博客
07-23 2208
Ghidra使用遇到的坑 因为看雪论坛上说用Ghidra 运行脚本后能识别出stm32固件库的宏定义等内容 所以我就试一下 看这个传说中的神器有啥特别的. 执行一个IDA脚本 提示参数不正确 引发java的异常 具体是这么报错的 Error running script: SVD-Loader.py java.lang.IllegalArgumentException: Cannot create PyString with non-byte value 用国内的搜索根本找不到相关的解决方法 加上用这个
keystone & capstone demo
qq_36535153的博客
03-15 1478
keystone capstone 的简单使用 ##安装 keystone capstone pip install keystone-engine pip install Capstone ##使用代码 ''' # X86 keystone_test(KS_ARCH_X86, KS_MODE_16, b"add eax, ecx") keystone_test(KS_ARCH_X86, KS_MODE_32, b"add eax, ecx") keystone_test(KS_ARCH_X86
IDA 对switch case编译不出来的问题 解决方法
qq_36535153的博客
01-06 1389
对应的汇编如下: 解决方法是: 选中生成错误的那一段汇编 然后右键 有一个analyze selected Area 然后再 按tab 键 到 pseudocode 界面 就可以看到重新分析出来的代码 多出了好多的代码
BinDiff 使用记录
qq_36535153的博客
08-13 1305
1.先介绍下BinDiff 的安装 1. **bindiff5.msi**下载路径 链接:https://pan.baidu.com/s/1AvCqAyJAp_gT1piIHgV6-A 提取码:3cpg 这个版本的binDiff是支持IDA7.0的版本 2 安装的时候提示要输入IDA的安装路径 如果路径错误也可能会导致bindiff不能正常使用 3.安装完成后会在File->binfiff的路径下出现工具的图案,或者快捷键 shift-D能调用出BinDiff的功能 BinDiff使用 1.sh
win下使用frida-ios-dump出现FileNotFoundError: [WinError 2] 问题解决方法
最新发布
qq_36535153的博客
07-02 1292
win frida-ios-dump 修改
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值