Post List

# 梆梆加固分析 解压打开 lib 文件,发现这四个 so 文件较新 而且 dexHelp 听起来和壳相关,从这里入手 打开文件后从 JNI_OnLoad 开始看起 上面是一些 x86 检测,壳配置读取,native 函数注册,直到函数末尾会调用脱壳函数 此函数混杂了检测,脱壳等操作,前半部分检测较多,尤其是这里 创建新线程进行检测,常见的模拟器检测,hook 检测,root 检测等,里面一些字符串被加密 字符串解密 示例数据 1234567891011121314[+] Dump 0xDA613 - 0xDA623 (16 bytes) :unsigned char...

# Android 一二三代壳实现 # 一代壳 落地壳 会将文件保存到本地 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116package...

# 分析开源项目 DPT 抽取壳源码实现 为了自实现抽取壳,对开源项目 dpt 进行分析 开始先创建一个代理类 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586package com.luoyesiqiu.shell;import android.app.Application;import...

# 编写 虚假控制流使用大量不透明谓词组成恒真或恒假的算式,每个基本块之间用条件跳转连接,用不可达基本块和条件跳转达成混淆的目的 与控制流平坦化相比,它的 cfg 更加细长 其中会有多个 if...

# VNCTF2026 出题笔记 很高兴能在 VNCTF2026 与大家见面,希望大家都能够玩的开心,有所收获 Ciallo~(∠・ω< )⌒★ # delicious obf 打开程序后根据字符串定位到主要函数,根据功能重命名函数 其中 check 函数就是主要的 flag 验证函数,但是点进去会发现函数反编译不成功 这里其实是对程序进行了混淆 # 混淆分析 原始程序部分汇编如下 1234567891011121314151617181920212223242526272829303132333435_Z11check_debugv: push rbp mov rbp,...

# 2025 鹏程杯 逆向 wp 前两天复习课内考试一直没怎么打 ctf,赛中只解了两道,最近考完试以后又把剩下的题做完了(除了驱动),题目质量还是非常不错的,值得一做 # MoreMoreFlower 花指令 + vm,非常常规且老套的题 反编译看到 vm 不全,转汇编 经典 call + retn 花,写了一个简单 idc 脚本去除 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849#include <idc.idc>static...

# Mini vnctf Crackme Wirteup 反调试在 ctf 中是非常常见且基础的技术,作为招新赛的考点不会太难,单出又不是很有意思,所以把它和 hook 结合起来出题,不知道大家有没有玩的开心~ 那让我们开始吧! # 程序分析 shift + f12 查找字符串定位,根据函数功能重命名出 printf 、 scanf 函数 发现逻辑非常简单,将输入的数据与 0x14 异或后再加 0x10,最后和密文比较 解密后发现这是一个 fake...

# 2025N1CTF 逆向 wp www 赛中解出两道,赛后一道,总体难度还是适中的_ # n1vm 程序接收四个输入,其中 sub_140001360 是主要加密函数,打开发现进行了轻微混淆 这个 lea + push + retn 明显是一个模拟 jmp 的操作,可以写 idc 脚本匹配特征然后计算偏移 patch 成 jmp,去除后可以成功反编译,但是伪代码非常难看,可以发现另一种混淆 123456789101112131415.text:0000000140001CBD mov r11, [r8+18h].text:0000000140001CC1 test r11,...

# 香山杯 - Nesting - 复现 main 里两个函数,一个初始化数据,另一个是 vm 主程序,定义 vmdata 结构体如下 12345678910111213struct vmdata{ uint8_t mem[3072]; uint64_t consts[71]; uint16_t padding[228]; uint16_t stack[256]; uint16_t index; uint16_t ptr; uint16_t res; uint16_t _rsp; uint16_t unk2; uint16_t...