Revercc's Blog

摘要： pthread_create 会先得到一个pthread_internal_t结构体 最后会调用__pthread_internal_add并将返回值赋给pthread_create的第一个参数thread_out __pthread_internal_add 会将传入的 pthread_inter 阅读全文

摘要： AES白盒加密主流的方法就是通过将原本的字节替换，行移位，列混淆和轮密钥加等操作用查表的方法实现，轮密钥则被合并到这些表中。可以通过DFA(Differential Fault Analysis)差分故障分析来获取到正确的轮密钥，通过轮密钥结合密钥扩展算法得到原始密钥。 常规AES加密 此so的en 阅读全文

摘要： 抓包后需要对params，pk,t1,t2,t3,key这几个参数进行分析 搜索字段关键词后得到t1(token) t2(machineIdCode) clienttime_ms这三个参数是在com.kugou.common.useraccount.entity.q中生成的 t3是在com.kugo 阅读全文

摘要： 定位sign关键位置 抓包后看到sign的值为16个字节，猜测应该是一个md5 可以通过hookNewStringUTF利用字符串长度筛选定位到关键位置，也可以通过url中的关键字段去定位组包位置。这里利用后者，搜索x-api-eid-token字段，注意这里最好使用此url特有的字段，这样好筛选。 阅读全文

摘要： so脱壳 dynamic段混淆 对so文件libSecShell.so脱壳，so加壳肯定要在init/init_array中还原原始so文件，readelf查看so的.dynamic节区发现只有NEEDED和SONAME类型，符号表和字符串表等其他重定位信息都没有这显然是有问题的。 ida加载文件是 阅读全文

摘要： sign分析 charles抓取到sign值是一个128位的值，猜测可能是md5或sha128。 寻找sign计算的关键点，可以通过jnitrace对NewStringUTF等函数进行hook，也可以直接写frida脚本hook strlen/NewStringUTF等字符串处理函数，以字符串长度为 阅读全文

摘要： 反调试 frida hook strstr发现会对一些敏感的字符串进行判断，将其中涉及到反调试的进行过滤直接返回null。 xposed substrate XposedBridge.jar /data/local/tmp TracerPid: State: android_server gdb l 阅读全文

摘要： 栈回溯原理 利用栈帧 x86通常会使用ebp来保存栈帧，在函数头部首先会将ebp即调用者对应的栈帧保存，而调用者的返回地址就保存在此ebp对应的栈地址+4的栈地址中。这样经过多层函数调用，在内存中就会形成一个ebp链，只要知道当前ebp的值并遍历ebp链就可以找到每一层调用的返回地址，这样就可以完成 阅读全文

摘要： uprobe在内核层对用户层进程目标地址的原始指令进行copy之后，写入指定类型中断指令，并且内核中设置对应的中断处理程序。中断处理程序会先去执行uprobe设置的回调过滤函数，然后通过单步异常执行copy的原指令，最后将单步异常返回地址修改为中断指令的返回继续执行剩余指令。ida查看被uprobe 阅读全文

摘要： CO-RE原理 因为不同的内核版本的系统内部结构体会有差异，例如struct user_arg_ptr，当内核编译配置中存在CONFIG_COMPAT=y的时候，会在native成员之前增加一个布尔变量is_compat，这样native的偏移就发生的变化。 如果编写的ebpf内核程序需要访问str 阅读全文