xiaoeryu

...

...

本节主要分析在Dalvik时代怎么做到把壳脱下来的，通过Android...

...

本章内容主要基于分析Android...

本章是加壳的一些前置原理，主要是基于Android8.0中ClassLoader的双亲委派模式原理和代码验证以及动态加载的代码验证 类加载器ClassLoaderAndroid的dalvik和art虚拟机都是继承于JVM的一种实现，是基于寄存器来实现的，这是和JVM不同的点 JVM的类加载器包括三种：每一个作用都是不一样的 Bootstrap ClassLoader（引导类加载器）：C/C++代码实现的加载器，用于加载指定的JDK的核心类库，比如java.lang、java.uti。等这些系统类。java虚拟机的启动就是通过Bootstrap，该ClassLoader在java里无法获取，负责加载*/lib*下的类，这些类在java中是没有办法获取到的。 Extensions ClassLoader（扩展类加载器）：Java中的实现类为ExtClassLoader，提供了除了系统类之外的额外功能，可以在java里获取，负责加载/lib/ext下的类。 Application...

这里是脱壳的一些碎碎念和FART脱壳机的使用流程 查壳 app解压看文件也能看出来是否加壳 用Android...

15一下的系统可以使用CheckRa1n越狱，15以上的可以使用palera1n来越狱。两个工具的流程都差不多。 IOS每次重启之后需要重新越狱。 这里使用制作启动盘的方式来进行刷机，使用balenaEtcher制作就行不多赘述。 进去启动盘之后 选择Options，进去后，选择Create Faksfs，空格键选中，回车确认！返回之后，一定要确认左上角有-f -c参数 选择Start开始越狱，此时会自动引导手机进入恢复模式 1回车2.将手机电源键和HOME键一起按住(4秒)3.松开电源键，但是保持按住HOME按钮(10秒)4,手机开始自动跑代码，电脑出现进度条，就可以松开按键~ 解决办法：1，按 Ctrl +C 键取消越狱，不要重启手机。回车，输入palera1n_menu，重新开启越狱菜单。2，再次选择Start越狱 重启完成后，iOS设备进入系统之后，重新启动电脑，选择U盘启动，再次来到越狱工具界面，选择Start开始（注意！！！这次不需要选Options，不要选择Create Faksfs），进入第二阶段越狱。 按照前面步骤一样，提示Press...

rsa加解密 RSA加密属于一种非对称加密算法，对于相同内容的每次加密结果也都是不一样的，但是用私钥解密后的结果却都是可还原的 rsa生成的密匙对 可以通过RSA的私钥提取公钥 公钥提取modulus（模数） 1. 分析iBuck登录加解密本章只分析软件的登录加解密验证 fiddler抓登陆包 先通过frida-trace 寻找RSA加解密相关的函数接口 frida-trace -m "*[* *rsa*]" -U iBuck 找到相关函数接口 +[BKDataEncrypManger bk_rsaDecryptForJson:0x280848cc0]+[BKDataEncrypManger bk_rsaEncrypJsonForDictionary:0x282664b80] 然后可以通过hook接口获取到参数信息 再通过rsa的通杀脚本来获取密钥相关的信息 frida -U iBuick -l...

用jadx分析代码逻辑先查一下程序没有加壳，用jadx打开apk查看代码 通过_AndroidManifest.xml找到程序的入口点可以看到提示的字符串然后因为它处理flag的函数是在native层所以我们需要用ida去查看这个函数是怎么在so文件中实现的用解压缩软件取出apk的lib库中的so文件，用ida去分析一下ida分析完后在文件中我们可以直接搜索java开头的函数_或者直接搜索verify这个函数，有可能可以直接搜索到如果我们搜索不到verify这个函数的时候也许这个函数是动态注册的，可以通过JNI_OnLoad去查找加载的函数JNI_OnLoad()函数是Java Native...

1. 通过hook脚本暴力破解进入入口点之后，简单查看一下代码的逻辑 可以发现密码是一个六位数字，经过encode函数加密后跟预定的值进行比较，比较相等就通过。查看这个encode函数使用了sha1摘要算法，这样我们并不能根据hook某一个点位直接获取到正确的密钥，因为密码是六位数字存在暴力破解的可能，我们可以直接hook这个encode函数来做一个暴力破解。因为这个_public class MainActivity extends Activity类不是一个静态类，所以不能直接通过类去调用里面的函数，所以不能直接用Java.use()_的方式写脚本,需要使用**choose()方法去内存中查找到类MainActivity**的实例之后再使用类方法 // 使用 setImmediate 在下一个事件循环中执行代码,防止脚本执行过程中报错Failed to load script: timeout was reached setImmediate(function(){ // 在 Java 环境中执行代码 Java.perform(function(){ //...

分析函数逻辑打开入口函数后，可以发现把校验函数写在so库里了 IDA分析so库文件那接下来用ida打开_native-lib.so_进行分析，文件打开之后可以直接搜索到这个函数，可以看到如果没有动态加载的话，java层映射到native层的本地函数命名特点Java+包名+函数名 修复参数这个函数解析的看起来比较乱，我们可以修复一下参数类型看会不会好点 在jadx里面看到只传递了一个参数，这里可以看到又三个参数，实际只有第三个参数_a3_才是我们传递的字符串参数，_a1_是JNIEnv*...