GKLBB - 博客园

应用安全 --- apk加固之 ptrace 反调试

摘要：我们来深入探讨一下 ptrace 反调试的原理以及如何有效地对抗它。这是移动安全（尤其是 Android 逆向）中一场经典的“猫鼠游戏”。一、什么是 Ptrace 反调试？ 1. 核心概念：Ptrace 是什么？ ptrace 是一个源自 Unix/Linux 系统的强大系统调用。它的全称是 P 阅读全文

posted @ 2025-08-24 17:48 GKLBB 阅读(48) 评论(0) 推荐(0)

应用安全 --- apk加固之抓包

摘要：移动端流量抓包全景图与分析指南抓包的本质是成为客户端（App）与服务器之间的“中间人”（Man-in-the-Middle, MITM）。所有抓包方法都围绕如何实现这个MITM角色展开。面临的核心挑战是：1) 如何让流量流经你的代理；2) 如何解密HTTPS流量；3) 如何对抗App的各种反抓包措阅读全文

posted @ 2025-08-24 17:36 GKLBB 阅读(44) 评论(0) 推荐(0)

应用安全 --- apk加固之反反编译器

摘要：当一些反编译工具ida打开该So，dex文件时，会出现报错异常等问题使得工具打开文件失败，阻碍程序解析阅读全文

posted @ 2025-08-24 17:07 GKLBB 阅读(3) 评论(0) 推荐(0)

应用安全 --- app加固之强制更新

摘要：我们来深入探讨一下APP加固中的强制更新机制以及可能的绕过思路。这是一个典型的“攻防对抗”场景。一、什么是强制更新？为什么需要它？强制更新是指用户必须将APP升级到最新版本，否则无法继续使用其核心功能。通常会弹出一个无法关闭的弹窗，引导用户去应用商店更新。开发者实施强制更新的主要原因：安全漏阅读全文

posted @ 2025-08-24 16:50 GKLBB 阅读(45) 评论(0) 推荐(0)

逆向工程 --- APP 逆向实战技巧精华总结

摘要：一、核心逆向思维逆向工程的核心是 “大胆假设，小心求证”。你看到一个加密参数，需要根据经验假设它可能如何产生，然后用工具去验证你的假设。本文提供的技巧就是为了让你的“假设”更准，“求证”更快。二、关键词搜索技巧（静态分析）当你在抓包中看到一个加密参数（如 sign, token, pwd）时，阅读全文

posted @ 2025-08-24 15:59 GKLBB 阅读(121) 评论(0) 推荐(0)

应用安全 --- frida 和 xpose有什么区别

摘要： Frida 和 Xposed 是移动端（尤其是 Android）逆向和 Hook 领域最著名的两个框架，但它们的理念、实现方式和适用场景有根本性的不同。简单来说： Xposed 像一个系统级的改装件，需要修改系统本身，功能强大而稳定，但需要重启生效。 Frida 像一个便携式的注射器，可以随时随地阅读全文

posted @ 2025-08-24 14:32 GKLBB 阅读(63) 评论(0) 推荐(0)

应用安全 --- frida安装

摘要： Frida 动态 Hook 框架核心入门指南一、核心概念：理解 Hook 定义：Hook（钩子）是一种强大的运行时技术，允许你拦截和修改应用程序的执行流程。你可以监视函数调用、查看和修改参数、篡改返回值，从而改变应用的行为。目的：在 APP 逆向工程中，Hook 是我们动态分析应用逻辑的“瑞士军阅读全文

posted @ 2025-08-24 14:30 GKLBB 阅读(52) 评论(0) 推荐(0)

应用安全 --- 安卓抓包

摘要： Charles 抓包详解 1. 抓包原理 Charles 作为中间人代理 (Man-in-the-Middle Proxy) 工作：电脑上运行 Charles，开启一个代理服务器（如 :8888）。手机网络设置代理，指向电脑的 IP 和 Charles 的端口。手机的所有网络请求都会先流经阅读全文

posted @ 2025-08-24 14:20 GKLBB 阅读(9) 评论(0) 推荐(0)

应用安全 --- root一部Pixel手机

摘要：这是一份对您提供的 Pixel 5 刷机与 Root 教程的详细总结、梳理和补充，使其逻辑更清晰、内容更完整。 Pixel 设备刷机与获取 Root 权限完整指南总结一、核心概念与准备工作目的：为后续进行 App 逆向分析、移动安全测试准备一个纯净、可控的 Android 测试环境。Root 权阅读全文

posted @ 2025-08-24 14:10 GKLBB 阅读(104) 评论(0) 推荐(0)

软件神器 --- 电脑控制安卓之 adb

摘要： https://developer.android.com/studio/releases/platform-tools?hl=zh-cn https://developer.android.com/studio/releases/platform-tools?hl=zh-cn 这是独立文件，配置环阅读全文

posted @ 2025-08-24 13:51 GKLBB 阅读(8) 评论(0) 推荐(0)

应用安全 --- 应知应会之 app加固方法大全

摘要： App 加固技术全景图 App加固的核心思想是 “隐藏” 和 “混淆”。它覆盖了从代码、资源到运行环境的各个层面。一、代码层面加固这是最核心的加固领域，直接针对应用的执行逻辑进行保护。加固方法原理描述优点缺点 DEX 加壳对原始DEX文件进行加密或压缩，并与一个外壳DEX一起打包。运行时由外阅读全文

posted @ 2025-08-24 08:13 GKLBB 阅读(37) 评论(0) 推荐(0)

应用安全 --- app加固之 root检测

摘要：下面我将详细列举 Android 平台上的 Root 检测方法及其对抗方案。 Root 检测与对抗全景图 Root 检测的核心思路是寻找设备被 Root 后留下的 “痕迹”。对抗的核心思路则是 “隐藏痕迹” 或 “欺骗检测API”。一、常规路径与文件检测这是最基础、最常见的检测方法，检查通常只有阅读全文

posted @ 2025-08-24 08:03 GKLBB 阅读(71) 评论(0) 推荐(0)

应用安全 --- 应知应会之壳

摘要：核心概念：什么是加壳？ “壳”是一种保护技术。开发商将原始程序（Dex/So，即“源程序”）进行加密、压缩、混淆，然后包裹在一个独立的“外壳”程序中。原始程序对外不可见。运行过程：App启动时，先执行“外壳”程序。外壳在内存中完成解密、解压操作，并将原始Dex文件加载到内存中，最后将执行权交还给原阅读全文

posted @ 2025-08-24 07:41 GKLBB 阅读(41) 评论(0) 推荐(0)

应用安全 --- app加固之 frida检测

摘要：我们来系统地梳理和对抗 Frida 的检测方法。这是一场持续的“猫鼠游戏”，理解双方的战术是成功的关键。 Frida 检测与对抗方法全景图本文将检测方法分为六大类，并为每一类提供具体的对抗方案。第一类：进程环境检测这类检测查找 Frida 在目标进程中留下的各种痕迹。检测方法检测原理对抗方法阅读全文

posted @ 2025-08-24 07:27 GKLBB 阅读(329) 评论(0) 推荐(0)

应用安全 --- apk加固之流量签名

摘要：什么是流量签名，是一种流量安全加固方法，通过签名流量可以防止数据篡改和流量重放攻击。流量签名的核心就是算法分析，要找到这个签名是如何加密生成的，从而模拟生成的过程。技术原理简要拆解发送方：准备数据：生成要发送的原始数据（例如：amount=100&to=Bob）。生成签名：使用只有发送方和接阅读全文

posted @ 2025-08-24 06:59 GKLBB 阅读(15) 评论(0) 推荐(0)

软件神器 --- 软件界的黑马之猎豹移动

摘要： https://www.cmcm.com/en/int-business#tools 猎豹移动简介猎豹移动是一家中国知名的互联网公司，成立于2010年11月，由傅盛创立。公司前身是金山网络，由金山安全和可牛影像公司合并而成，于2014年更名为猎豹移动。该公司以工具类应用（如清理大师、安全大师）起家阅读全文

posted @ 2025-08-23 09:56 GKLBB 阅读(46) 评论(0) 推荐(0)

应用安全 --- frida脚本之 dump所有dex

摘要：脚本位置： https://gitee.com/null_465_7266/dump-all-so/blob/master/dump_so.py 命令 python dex_dump_all_in_one.py -p com.shizhuang.duapp -f -t 5 PS C:\Users\2 阅读全文

posted @ 2025-08-23 06:29 GKLBB 阅读(22) 评论(0) 推荐(0)

软件神器 --- win极速文件搜索之 everything

摘要： https://www.voidtools.com/zh-cn/ 这个软件简单好用打开即可使用阅读全文

posted @ 2025-08-22 18:05 GKLBB 阅读(7) 评论(0) 推荐(0)

服务运维 --- 如何查看linux硬盘目录使用情况并查找大文件

摘要： sudo du -sh /* | sort -rh Linux 查找大文件的命令在 Linux 中查找大文件是释放磁盘空间的关键步骤。以下是几种常用的方法： 1. 使用 find 命令查找大文件 bash # 查找当前目录下大于 100MB 的文件 find . -type f -size +10 阅读全文

posted @ 2025-08-22 16:34 GKLBB 阅读(28) 评论(0) 推荐(0)

术语俗话 --- 什么是SSH 隧道

摘要：我们常常在运维时间会有这样的场景， ssh远程的服务器可以访问内部的一个网段，但是我自己的电脑无法直接访问这些网段，解决方法配置ssh转发服务，将服务器作为跳板机访问内网配置方法：这是一个非常经典且实用的需求，通常被称为“SSH 隧道”或“跳板机”技术。你的云服务器在这里充当了一个“桥梁”的阅读全文

posted @ 2025-08-22 16:05 GKLBB 阅读(76) 评论(0) 推荐(0)

常见问题 --- flash网页无法正常播放

摘要： flash技术官方已经停止维护了。已经交由第三方成都一家技术公司维护。我们打开一个页面发现flash视频无法正常播放，需要第三方插件。解决方法：使用flash中心修复即可阅读全文

posted @ 2025-08-22 09:37 GKLBB 阅读(6) 评论(0) 推荐(0)

应用安全 --- frida脚本之 dump所有so

摘要：第一步打印所有的应用内存中的so，包含data/app和data/data 第二步将应用so本地未被加载进内存的文件，强制加载进入内存，检测是否强制加载成功，打印加载状态第三步dump所有的内存so 第四步修复so 第五步拉取so到电脑本地这一步可以加载绝大多数的so文件，但是动态解密后加载的阅读全文

posted @ 2025-08-21 07:09 GKLBB 阅读(38) 评论(0) 推荐(0)

应用安全 --- frida脚本之 so枚举

摘要： // 增强版：获取应用自身SO文件信息（带延迟和更智能的过滤） // 使用setTimeout设置一个定时器，延迟5秒后执行内部的函数。 // 为什么需要延迟？因为App启动时，并不是所有的SO库都会立即加载。 // 很多库是在用户进行某些操作或App初始化到某个阶段后才动态加载的。 // 延迟执行阅读全文

posted @ 2025-08-21 06:31 GKLBB 阅读(43) 评论(0) 推荐(0)

应用安全 --- apk应知应会之 so加载流程

摘要：一个app的so文件有三种，一种是系统库，一种是应用本地库，还有一种是运行时加载库常见加密库。且so是按需加载的，先加载核心系统库，在加载应用启动后调用的so，最后加载动态运行库下面我将为您详细解析这三种类型的 SO 文件。核心分类对比表特性系统库 (System Libraries)应用本地阅读全文

posted @ 2025-08-21 06:09 GKLBB 阅读(138) 评论(0) 推荐(0)

应用安全 --- apk加固之签名验证

摘要：重要声明：本文所有内容仅用于安全研究、渗透测试和学习目的，旨在帮助开发者加固应用安全。严禁用于任何非法攻击和侵权活动。任何不当使用所导致的法律责任，由使用者自行承担。签名验证准确来讲是证书的签名验证，apk在安装时会验证apk内部证书文件是否合法，完整，唯一。一、APK 签名是什么？简单来说，阅读全文

posted @ 2025-08-21 04:20 GKLBB 阅读(33) 评论(0) 推荐(0)

术语俗话 --- hook是什么

摘要： hook就是偷梁换柱在程序里有一种特殊的方法，不修改程序但是可以改变程序的执行流程。他不能深入分析一个函数，但是可以获取这个函数的参数和返回值。这一切的实现原理是偷梁换柱法。它修改了原始可执行文件的导入函数替换为frida的函数用来监测函数的行为。阅读全文

posted @ 2025-08-20 06:06 GKLBB 阅读(8) 评论(0) 推荐(0)

应用安全 --- 一个so或dex文件如何被加固的，漫谈

摘要：一般来讲一个原始的dex文件会被加密保存在assest目录下，并将解密的方法保留在现在的dex文件中。在运行时解密。解密后的java代码可能包含root检测，frida检测，模拟器检测，签名验证等等。一个so文件内部代码会被加密压缩保存在内部，在运行时解密。解密后的so文件可能包含指令集虚拟化vm 阅读全文

posted @ 2025-08-20 05:47 GKLBB 阅读(14) 评论(0) 推荐(0)

应用安全 --- APK 虚拟内存布局

摘要： 1. Android进程虚拟内存空间概览 Android基于Linux内核，每个应用进程都有独立的虚拟地址空间： 64位Android进程虚拟内存布局（简化版）： 0x0000000000000000 - 0x0000555555554000 [用户空间下限] ├── 0x0000000000000 阅读全文

posted @ 2025-08-19 19:45 GKLBB 阅读(18) 评论(0) 推荐(0)

软件神器 --- win上的gcc 之 TDM-GCC

摘要： https://jmeubank.github.io/tdm-gcc/ 阅读全文

posted @ 2025-08-19 17:53 GKLBB 阅读(11) 评论(0) 推荐(0)

软件神器 --- 扫描之王 nmap

摘要：软件神器扫描之王 nmap 阅读全文

posted @ 2025-08-19 17:51 GKLBB 阅读(4) 评论(0) 推荐(0)

软件神器 --- 杀毒王者之 360、火绒、卡巴斯基

摘要：软件神器杀毒王者之 360、火绒、卡巴斯基阅读全文

posted @ 2025-08-19 17:47 GKLBB 阅读(8) 评论(0) 推荐(0)

软件神器 --- 数据恢复之王 R-Studio

摘要： R-Studio大眼仔旭版本阅读全文

posted @ 2025-08-19 17:43 GKLBB 阅读(5) 评论(0) 推荐(0)

软件神器 --- 文字比对工具之 beyond compare

摘要：软件神器 beyond compare 阅读全文

posted @ 2025-08-19 17:37 GKLBB 阅读(31) 评论(0) 推荐(0)

软件神器 --- 新闻软件之澎湃新闻央视新闻今日头条

摘要：软件神器新闻之澎湃新闻央视新闻今日头条阅读全文

posted @ 2025-08-19 16:29 GKLBB 阅读(6) 评论(0) 推荐(0)

应用安全 --- frida脚本之 dump 自动化动脱 so

摘要：为什么我要动态在内存中查找so并下载修复一个so，因为这个so文件被安全软件进行了加固处理使得代码大面积加密，用ida打开后会发现代码是红色的报错用到的脱壳so的工具： https://github.com/lasting-yang/frida_dump/tree/master/android 原阅读全文

posted @ 2025-08-19 13:30 GKLBB 阅读(253) 评论(0) 推荐(0)

常见问题 --- 云电脑一体机打印时好时坏

摘要：时好时坏的意思是比如我打印10张，要不就直接pcl报错，要不就是只是只是打印3张，要不就干脆不识别驱动线缆。这种就是因为丢包导致的。是因为usb线路过长改用网线。如果是未识别云电脑设置里就显示HID Device通用设备，或者干脆不识别。 usb线的有效长度是2米左右。网络是100米解决方法：阅读全文

posted @ 2025-08-19 04:28 GKLBB 阅读(11) 评论(0) 推荐(0)

常见问题 --- jdax报错checksum

摘要：在设置关闭即可，注意分析完成后要用mt修复dex校验保证正常使用阅读全文

posted @ 2025-08-18 07:48 GKLBB 阅读(32) 评论(0) 推荐(0)

应用安全 --- 如何快速判断一个apk是否加壳

摘要： dex打开后没有任何有效的代码，只有壳的代码 so打开后报错，elf格式错误，段错误，无法识别的代码片段阅读全文

posted @ 2025-08-17 14:53 GKLBB 阅读(19) 评论(0) 推荐(0)

https://subscription.packtpub.com/book/security/9781788838849/5/ch05lvl1sec42/decompilers

摘要： https://subscription.packtpub.com/book/security/9781788838849/5/ch05lvl1sec42/decompilers https://kienmanowar.wordpress.com/2015/09/19/ida-plugin-snow 阅读全文

posted @ 2025-08-17 08:39 GKLBB 阅读(4) 评论(0) 推荐(0)

应用安全 --- ARM64（AArch64）架构的反编译工具

摘要：好的 👍 你问的是 ARM64（AArch64）架构的反编译工具，主要用于逆向工程，把编译好的二进制代码（如 ELF、Mach-O、PE 等文件）转换为汇编甚至伪 C 代码。我来按常用反编译器/逆向工具分类详细列举： 🔹 一、专用反编译器（支持 ARM64） Ghidra 美国 NSA 开阅读全文

posted @ 2025-08-17 08:31 GKLBB 阅读(116) 评论(0) 推荐(0)

导航