mysql中字符串拼接函数_hook init_array中函数解密ollvm加密字符串

最新推荐文章于 2023-02-20 21:56:31 发布
最新推荐文章于 2023-02-20 21:56:31 发布
阅读量152 收藏
点赞数
文章标签: mysql中字符串拼接函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39956350/article/details/112204231
版权
本文介绍了如何使用Xposed框架和Android-Inline-Hook库来hook安卓应用中的init_array节,以解密加密字符串。作者通过IDA分析SO文件,定位到解密函数,并实现动态加载库进行hook,最终成功获取解密后的字符串。
摘要由CSDN通过智能技术生成

9eeaf5e612e3cbbefce420c61d5235b3.png

本文为看雪论优秀文章

看雪论坛作者ID:别致疯子

0d9ce05cda092d0340f3f5f86bb4a535.gif

前 言

0d9ce05cda092d0340f3f5f86bb4a535.gif
这是2W班8月份的练习题。题目要求是:
ollvm针对加密字符串的解密都是在位于init_array节当中的函数。请编写Xposed插件,完成对测试apk中位于init_array节中的函数的hook,并获取对应的解密后的字符串。   思路:刚刚开始只是为了解题怎么方便怎么来,app是32位的,所以在android 6下使用这个支持32位的hook库,https://github.com/ele7enxxh/Android-Inline-Hook,在加载Xposed的时候动态载入 libnative-lib.so ,然后对init_array中的函数进行hook,在进行主动调用,打印关键字符串。   0d9ce05cda092d0340f3f5f86bb4a535.gif

解 体 过 程

0d9ce05cda092d0340f3f5f86bb4a535.gif
1. IDA载入libnative-lib.so,简单看了下: a4db71f17c2fc6329e1f19c2facb9081.png 09213408cfc73809e4c158f87b791b3f.png
有静态注册的shell函数,猜想是这个方法sub_87c4里的一个比较,点击进入看看,byte_1B008= v2从一个地址1b008取值跟a1来比较,字符长度为5,重命名mystr。   2. 点击看看byte_1b008,【0x9F, 0x94, 0x99, 0x9F, 0x97, 0xFC, 0, 0】,交叉引用看下,发现解密在datadiv_decode9080531325931451386这个里面, byte_1B008[v11++] ^= 0xFCu; 这样一个异或,计算一下看看,其实已经看到check了。 6d9024a1a0c871d791142638b45edd51.png   3. 继续分析,去.init_array,有2个函数,一个解密的.datadiv_decode,一个里面有对byte_1b008进行参数传值的方法。 791dc826a318773453132de496533dcb.png   4. 这步解密字符串在调用sub_85e4,是不是hook它打印第一个参数就能得到我们要的结果。 
unsigned long base = NULL;Dl_info dlinfo;__attribute__ ((visibility ("hidden"))) void hookMyGetstr() {     void *handle = dlopen_compat("libnative-lib.so", RTLD_NOW);    if (handle != nullptr) {        __android_log_print(4, "test02", "libnative-lib.so handle is not nullptr");        void *temp = dlsym_compat(handle, "Java_com_kanxue_hookinit_1array_MainActivity_Shell");        int rc=dladdr(temp,&dlinfo);        if(dlinfo.dli_fbase!= nullptr){            base= reinterpret_cast<unsigned long>(dlinfo.dli_fbase);        }     }      //unsigned long mtem=findBaseOff("libnative-lib.so");    if(base>0L){        //unsigned long func_addr=base + 0x85E4 + 1;        unsigned long func_addr=base + 0x85E4 + 1;        if (ELE7EN_OK == registerInlineHook((uint32_t) func_addr, (uint32_t) mygetstr,                                            (uint32_t **) &getstr)) {            if (ELE7EN_OK == inlineHook((uint32_t) func_addr)) {                __android_log_print(4, "XposedFART", "inlineHook getstr success");            } else {                __android_log_print(4, "XposedFART", "inlineHook getstr failure");            }        }    }else{        LOGD("NOT FOUND THE BASE .SO");    }}
使用dlsym_compat的时候不确定能不能找到需要hook的函数地址,所以我先dlsym_compat有导出函数名的Java_com_kanxue_hookinit_1array_MainActivity_Shell得到基址手动计算函数偏移,thumb模式,所以需要+1。 
void *(*getstr)(void*, void*, void*)= nullptr;void *mygetstr(void* str, void*size, void*c){     char* tempStr=(char*)str;    __android_log_print(4, "XposedFART", "getOriArgsStr:%s",tempStr);    void *result = getstr(str, size, c);    __android_log_print(4, "XposedFART", "getResultStr:%s",(char *)result);    return result;}  void zhudongmyGetstry(){    typedef void *(*xxtest)();    if(base>0L){        //随便对一个有执行了hook方法的调用        xxtest xxtestfucnc= reinterpret_cast(base+0x876C+1);        xxtestfucnc();        __android_log_print(4, "XposedFART", "call xxtestfucnc");    }}  extern "C" void _init(void) {    __android_log_print(4, "XposedFART", "go into _init");    hookMyGetstr();    zhudongmyGetstry();}
5. 到处hook模块差不多了,传到手机,Xposed加载验证。   6c83ea60e6a1714e784844b7a60e8614.png
打印出来了~   整个过程还是比较简单的,小菜鸟一枚有什么错误的地方,欢迎指出,特别感谢r0ysue,寒冰老师~~~

844f02d602949215824f4d157e527fef.gif

- End -

8cb287df9c62ed8f45897ea736608df6.png

别致疯子

https://bbs.pediy.com/user-home-491302.htm

 *本文由看雪论坛 别致疯子 原创,转载请注明来自看雪社区。

 安卓应用层抓包通杀脚本发布!

《高研班》2021年3月班开始招生!?

aa8076bd8db13f8beb7153239daa8239.png

* 戳图片了解详情

# 往期推荐

  • IDA7.5 启动基础配置

  • 安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

  • Kraken攻击恶意样本

  • CVE-2017-0263 win32k.sys内核漏洞分析

  • Go恶意样本分析

dc3c8c8aba9bc04a73b29607d70bce55.png 公众号ID:ikanxue 官方微博:看雪安全 商务合作:wsc@kanxue.com c4513a40347878e279d21f8979b8d385.gif

球分享

c4513a40347878e279d21f8979b8d385.gif

球点赞

c4513a40347878e279d21f8979b8d385.gif

球在看

1d7793572eb7249d9c6bbbd86ca4ee18.gif

weixin_39956350
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
看雪3万课程笔记-Frida 辅助分析ollvm字符串加密(二)
kfyzjd2008的博客
03-10 609
接上一篇文章。 一、使用到工具 hellojni_2.0.1.apk 二、知识点: ARM64才会出现数组形加密字符串。 三、课程步骤: 将.so文件拖入IDA64,在导出函数我们发现搜索不到.data或者decode。 此时我们回到IDA-viewA窗口按下CTRL+S调出XX窗口找到.init_array 进入.initarray可以看到三个函数,我们进入第一个,然后F5 stru_37010[0] = veorq_s8(stru_37010[0], v0);.
Unidbg系列--Ollvm字符串解密
Tasfa的博客
06-25 1012
Ollvm字符串解密 原理 使用unidbg框架,模拟调用So文件,并Hook内存写操作,当so解密操作写入内存时,回调获取解密字符串,并将其写入新so文件,达到反OLLVM字符串加密的目的。 解密脚本 package com.xCrack; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unid
ollvm 新增字符串加密功能
weixin_30300523的博客
08-20 660
好久没弄ollvm了,可以继续了,今天给ollvm新增了一个pass,用来加密字符串,这个pass是从别的库里面扒出来的。 本文是基于在Windows 上使用VS2017编译出来的ollvm,在这个基础上来添加。 第一步: 寻找两个pass的代码 头文件 1 #ifndef _STRING_OBFUSCATION_H_ 2 #define _STRING_O...
init_array教程
03-25
用于说明init_array编写和调试的教程
不混淆so文件_浅尝ollvm轻度混淆后的加密算法分析
weixin_34977368的博客
01-15 437
本文为看雪论优秀文章看雪论坛作者ID:Avacci该题源自看雪高研3W班9月第三题。目标app只有一个很朴素的界面。点击“CHECK”按钮会在下方不断打印加密后的字符串。目标就是分析整个加密流程。由于Yang神手下留情,整个加密流程其实并不复杂,但是由于使用了ollvm字符串混淆及控制流平坦化,为静态分析增加了不少难度。这种时候就要善于借助各种其他工具和技术来加快分析过程。很多时候,我...
Win10 环境 安卓ollvm编译与配置 ndk代码混淆加密(失败的尝试)
专注安卓前沿科技
02-20 1056
在win10下编译ollvm加密安卓native层代码
iOS安全防护系列之字符串及系统函数隐藏详解
08-27
1. **避免函数符号直接暴露**:当使用系统函数进行加密时,函数名会存在于符号表,易于被hook。为了隐藏系统函数,我们可以直接通过函数指针调用,而不是通过函数名: ```c // 导入动态链接库函数 #import // ...
32位_C++_MFC_远程超级HOOK_vs2022_进程名获取进程句柄_字符串转字节集
03-18
在C++,将字符串转换为字节集通常使用`std::string`的`data()`成员函数或者`const_cast*>()`转换,以获取字符数组的原始指针。在进行跨进程通信时,这种转换可能是必要的,因为数据在不同地址空间之间传递时需要...
dex字符串解密_某Xposed微信群发工具dex解密分析
weixin_39809140的博客
12-20 1299
jadx载入寻找xposed_init文件定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数加密存储了,执行时通过dexClassloader动态加载执行public class XposedEntry implements IXposedHookLoadPackage {private static final String enDexName = "appco...
hook特定程序 Android,[原创]ART下Hook系统函数修改内存指定方法的运行指令逻辑案例分享...
weixin_28720573的博客
05-26 544
首先MainActivity的native函数ccccccc首先调用了ddddd()函数ddddd()函数首先使用j_dlopen_compat函数,接着就是hook了libc的execve函数,registerInlineHook参数为1、原始函数地址,2、hook的新函数地址,3、原始函数的二级指针。当Android7.0或以上时候进入j_fake_dlsym() fake_dlopen(...
使用dlopen和dlsym来使用C++的类
weixin_34296641的博客
04-24 590
转载自http://hi.baidu.com/aaronmagic/blog/item/caae9d54706d1650d10906dd.html 原文链接http://www.isotton.com/devel/docs/C++-dlopen-mini-HOWTO/ 一般来说,dlopen和dlsym是来处理C库函数的,对于C++存在的name mangle问题,类的问题就不易...
So自加密解密(找不到JNI_Onload 跟 init_array
qq_34108752的博客
09-30 3014
Shelldemo.apk 里 libdemo.so 看到 getString 这个函数 下面是一堆DCD 行 说明这个函数加密了 那么如何得到它真实的 函数样子了? 我们得知 在运行的时候 so被加载的时候 是要先被解密 然后加载进内存的 我们就想到 在 libdvm.so 系统so 里的 loadnative(是关键字不全)这个函数里 这个函数里 有去加载 apk的 so的 J...
看雪3万课程笔记-Frida 辅助分析ollvm字符串加密(一)
kfyzjd2008的博客
03-04 957
一、ollvm的混淆原理: 视频是这样说的,程序在编译过程加密字符串,运行时会解密字符串,所以在运行过程我们可以获取到它真正的字符串, 二、操作: IDA打开.so文件,在导出函数搜索.data会发现三个.datadiv_decode+随机数字段。双击进入 双击一个进入 如图,比如我们想看看byte_37031,byte_37031是什么字符。打开010 Editor file -> new -> new hex file 打开一个新的十六进制文本,输入 15
OLLVM两种混淆方式:初始化解密和运行时解密
小龙在线
01-12 1253
OLLVM混淆函数名:std::string_ 查找JNI_OnLoad 加载Android ARM库: 修改类型: 双击查看v6 = off_33D60里的off_33D60: print_dex(0x37070)是sign1。 查看交叉引用: 是std::string_::形式的函数,改了函数的名字,这是OLLVM的另一种加密函数,在.init_array段里面: OLLVM字符串使用前混淆:运行时解密 Ctrl+S打开.init_array: 查看sub_6CEC函数: 都赋值
ollvm3种字符串混淆加密
qq_33364733的博客
03-17 958
ollvm的三种字符串混淆加密 第一种 so搜索datadiv_decode,,点进去会看见有解密操作,比如异或,通过frida hook就能拿到解密后的值 第二种 1.init_array进行异或解密 第三种 在jni_onload函数进行解密操作,这时候就要进行inlinehook拿到解密后寄存器的值,也可以进行hook RegisterNatives函数看看 ...
ida动态调试_初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
weixin_39616379的博客
12-01 705
本文为看雪论坛优秀文章看雪论坛作者ID:无造本文为看雪安卓高研3w班(5月班)优秀学员作品。下面先让我们来看看讲师对学员学习成果的点评,以及学员的学习心得吧!讲师点评ollvm混淆强度不是很强的时候,可以通过IDA静态分析参数的交叉引用和返回值的来源,定位到与参数相关的函数,然后使用frida hook这些函数,定位到处理参数或生成返回结果的关键函数。但是ollvm混淆强度比较强的时候,...
c++ 字符串加密解密_使用ollvm自定义简单的字符串加密
weixin_42515014的博客
12-27 1084
本文为看雪论优秀文章看雪论坛作者ID:misskings题目出自3W班9月的题目用ollvm9.0实现字符串简单加密。题目主要是为了能熟练ollvm如何进行一个简单的加密,以及c++部分怎么生成对应的IR指令来达到像c++函数效果。所以主要我们的思路可以切换成:1、首先确定加密的核心逻辑并用C++实现2、根据C++的算法。生成一份IR指令来为我们提供参考3、ollvm里面如何用C++生...
【Android 逆向】ART 函数抽取加壳 ④ ( 对 libc.so#execve 函数进行内联 HOOK 操作 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-24 1112
一、对 libc.so#execve 函数进行内联 HOOK 操作
js数组拼接的四种方法
热门推荐
cristina_song的博客
09-21 8万+
var a = [1,2,3,4,5,6]; var b=[&quot;foo&quot;,&quot;bar&quot;, &quot;fun&quot;]; 最终的结果是: [1,2,3,4,5,6,&quot;foo&quot;,&quot;bar&quot;,&quot;fun&quot;] 方法1:concat c=a.concat(b); c是新数组,此时内存使用有,c,a,b三个数组。 方法2:
c++代码注入hook inotify_init()函数
最新发布
05-15
以下是一个简单的示例代码,展示如何使用 LD_PRELOAD 技术注入 hook 到 inotify_init() 函数: 首先,编写 hook 函数 inotify_init(),并将其保存为一个动态链接库文件 libinotify_hook.so: ```c++ #include <stdio.h> #include <sys/inotify.h> int inotify_init(void) { printf("inotify_init() has been hooked!\n"); return 0; } ``` 然后,编写一个简单的 main() 函数,用于调用 inotify_init() 函数: ```c++ #include <stdio.h> #include <stdlib.h> #include <sys/inotify.h> int main() { int fd = inotify_init(); if (fd == -1) { perror("inotify_init"); exit(EXIT_FAILURE); } printf("inotify_init() returned: %d\n", fd); return 0; } ``` 接下来,编译并运行 main() 函数,验证 inotify_init() 函数是否能够正常工作: ```bash $ gcc main.c -o main $ ./main inotify_init() returned: 3 ``` 最后,使用 LD_PRELOAD 技术将 libinotify_hook.so 动态链接库注入到 main 函数,以替换 inotify_init() 函数: ```bash $ gcc -shared -fPIC -o libinotify_hook.so inotify_hook.c $ LD_PRELOAD=./libinotify_hook.so ./main inotify_init() has been hooked! inotify_init() returned: 0 ``` 可以看到,在使用 LD_PRELOAD 技术注入 hook 后,inotify_init() 函数被替换为 hook 函数,输出了一条新的提示信息,并返回了预设的返回值 0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值