抱歉,您的浏览器无法访问本站
本页面需要浏览器支持(启用)JavaScript
了解详情 >

1ens - Blog

一个菜鸡逆向选手

文档

关于

github

基于dalvik 字节码解释器。dex文件中真正包含一条条的Smali指令流的结构是每一个Java函数的Codeltem部分(Dalvik时代叫DexCode),右图为该部分对应的结构体,其中指令流最前面的16个字节的长度是固定的,表示了当前函数需要的虚拟寄存器个数、参数个数以及指令条数、异常梳理、调试信息等。 DexCode 是 Android DEX 文件格式中用于存储方法代码的数据结构...

学一下stalker脚本怎么写的。 Frida的Stalker · 逆向调试利器:Frida JavaScript API | Frida • A world-class dynamic instrumentation toolkit [Stalker · Frida逆向实例和工具函数 打印变化的寄存器 12345678910111213141516171819202122232425...

oncreate分析紧接前文,我们发现onCreate函数被注册为native函数 拦截JNI注册函数RegisterNative找onCreate函数的地址,使用了yang神的脚本 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565...

安卓so加载流程源码分析 | oacia = oaciaのBbBlog~ = DEVIL or SWEET 很好的文,学习! so 的启动过程 so的静态加载,要加载的 so 一般已经内置在 apk 的 lib/[arch]/ 中 1System.loadLibrary("native"); 动态加载,加载任意路径下的 so 12String s...

发现一篇很好的vmp分析,360加固dex解密流程分析 | oacia = oaciaのBbBlog~ = DEVIL or SWEET跟着复现学习 init_array JNI_onLoad 反调试 自定义linker加载第二个so 手工修复elf_header 动态注册函数 native化java函数分发器分析 根据注册vmp方法时的描述信息执...

有东西被加密了, 请输入密码查看.

vmp是什么VMP(Virtual Machine Protection)是一种流行的内存不还原壳技术,它通过自定义虚拟机来执行变形后的字节码,而不直接执行原始的DEX字节码。 加壳过程: 受保护函数抽取与插桩:VMP壳首先会从程序中抽取需要保护的函数体,并对其插桩,形成对特定代码的控制。 字节码变形:抽取的字节码中的操作码部分会经过变换,变形后的字节码被加密并存储到私密文件中。 变形字节...

是什么eBPF 是extended Berkeley Packet Filter(扩展的伯利克数据包过滤器)的缩写,从字面意思理解,eBPF 就是一个过滤器(Filter)。功能类似于现代化HOOK框架。 eBPF的出现给 Linux内核带来了创新。扩展设计的高效BPF字节码表示,配合全新设计的BPF字节码执行虚拟机,形成了一个功能强大的BPF子系统。所有的eBPF程序运行在这个虚拟机中,就...

跟着unidbg的基本使用(九) 初探 Context问题在使用 Unidbg 模拟 JNI 环境时,Context 是一个关键的概念。许多 Android 应用中会调用 getAppContext() 来获取全局上下文。如果我们未正确处理 Context,可能会引发一系列问题。 1234[08:21:02 080] WARN [com.github.unidbg.linux.ARM3...

补 JNI 环境的数据补jni内容分成两部分,数据和代码。 数据主要指各种字段和属性的获取 123456789case "com/meituan/android/common/mtguard/NBridge$SIUACollector->uiAutomatorClickCount()I":{ return 0;}case "and...

1 / 9