首页
论坛
课程
招聘
[原创]乐固加固(17年1月)逆向分析
2017-5-11 16:35 27933

[原创]乐固加固(17年1月)逆向分析

2017-5-11 16:35
27933
收藏
点赞0
打赏
分享
打赏 + 12.00
打赏次数 3 金额 + 12.00
 
赞赏  TzdnerC   +10.00 2018/05/27
赞赏  CCkicker   +1.00 2017/05/31
赞赏  土豆粉   +1.00 2017/05/16
最新回复 (39)
雪    币: 42
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dddsdf 活跃值 2017-5-29 00:27
26
0
看过lz的ali那篇,做为之前实操过的表示确实如lz所说挺有意思,谢谢lz的文章
雪    币: 280
活跃值: 活跃值 (175)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
sunsama 活跃值 2017-5-31 21:22
27
0
http://bbs.pediy.com/thread-214999.htm
雪    币: 181
活跃值: 活跃值 (669)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
寒号鸟二代 活跃值 3 2017-6-22 14:58
28
0
QEver的脚本dump出来的dex不是真正的dex,一些函数需要修复
雪    币: 356
活跃值: 活跃值 (17)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
Caln 活跃值 2 2017-6-22 16:09
29
0
寒号鸟二代 QEver的脚本dump出来的dex不是真正的dex,一些函数需要修复
附件这个版本的  apk  是不需要的  ~
雪    币: 181
活跃值: 活跃值 (669)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
寒号鸟二代 活跃值 3 2017-6-22 16:24
30
0

你例子中的apk脱出来的确实是真正的dex,使用的是libshella2.8的版本,我没有其他libshella2.8的样本,不过我这里使用libshella  2.7和  2.10加固的样本脱出来的dex还需要修复一些函数

雪    币: 106
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
看不见的日落 活跃值 2017-6-22 17:09
31
0
膜拜中
雪    币: 5
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lulusudoku 活跃值 2017-7-1 17:22
32
0
照着楼主的方法在ida调试的时候,在加载libbugly.so的时候,ida总是崩溃,请问是libbugly.so中有反调试吗?如果是,请问楼主是怎么绕过的?
雪    币: 356
活跃值: 活跃值 (17)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
Caln 活跃值 2 2017-7-3 11:26
33
0
lulusudoku 照着楼主的方法在ida调试的时候,在加载libbugly.so的时候,ida总是崩溃,请问是libbugly.so中有反调试吗?如果是,请问楼主是怎么绕过的?
bugly是腾讯一个反馈bug的so跟脱壳没有关系所以只是脱壳的话不用看这个
ida崩溃是因为so的头部结构中做了异常处理ida没法识别  我是从内存中dump出来so分析的
雪    币: 5
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lulusudoku 活跃值 2017-7-5 22:40
34
0
Caln bugly是腾讯一个反馈bug的so跟脱壳没有关系所以只是脱壳的话不用看这个 ida崩溃是因为so的头部结构中做了异常处理ida没法识别 我是从内存中dump出来so分析的
照着楼主说的修改bl  raise指令,但是改了之后无法运行程序,楼主是在dump的so中修改的指令吗?dump  so的地址是从ida中调试获得的吗?
雪    币: 402
活跃值: 活跃值 (21)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
星星当空照 活跃值 2017-7-25 17:29
35
0
感谢楼主的详细过程
雪    币: 225
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
吴下阿蒙丶 活跃值 2017-8-5 09:31
36
0
sunsama http://bbs.pediy.com/thread-214999.htm
大佬好啊
雪    币: 225
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
吴下阿蒙丶 活跃值 2017-8-6 16:26
37
0
Caln 指的是IDA不能打开.so文件还是没有函数列表?
ida打开so文件加密了
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_安卓小子 活跃值 2018-2-24 01:17
38
0
你的so  jni_onload  65a8是无法还原f5的吧,这里是你自己搜集整理的吗还是拖出来就是直接f5呢
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hustoluo 活跃值 2018-8-5 18:28
39
0
有个问题,断不到最后的那个手动注册的load函数里面,总是显示:4012FF6C: got SIGCHLD signal (Child status has changed) (exc.code 11, tid 16642),请问有大佬能解决吗
游客
登录 | 注册 方可回帖
返回