Revercc's Blog

摘要： 之前通过修改内核插桩并编写内核模块的方式hookdo_sys_open函数（这种方式有点像tracepoint，都属于静态探测），这种方式优点是可以hook内核中的任意函数，但是需要编译内核和驱动模块较为麻烦。 eBPF相当于在内核中定义了一个虚拟机，能够加载eBPF字节码并依赖kprobe,upr 阅读全文

摘要： 拉取源码 当前pixel6是android13，所以选择了common-android13-5.10分支 接着就需要拉取对应分支的内核代码 mkdir ~/bin PATH=~/bin:$PATH curl https://storage.googleapis.com/git-repo-downlo 阅读全文

摘要： sign分析 首先对https进行抓包，密码验证接口的http头部有一个x-sign字段的值为3bb776e25f1f4f7334f706d723adae79e26a6a56 hook libc.so的字符串和内存相关处理函数，然后进行栈回溯。可以hookmemcpy, memmove, memcm 阅读全文

摘要： PackageManagerService获取签名 正常APP中获取PackageInfo中的签名信息是通过Binder通讯向PackageManagerService发送TRANSACTION_getPackageInfo请求，同时设置请求的参数的flag为GET_SIGNATURES。当Pack 阅读全文

摘要： Binder跨进程通讯 Binder跨进程通讯需要四部分参与工作：Client端，Server端，ServiceManager和Binder驱动，整体工作流程如下。 Server端创建Binder本地对象，然后通过Binder驱动向ServiceManager进程中注册添加服务。 Client端通过 阅读全文

摘要： 编写驱动模块进行sys_call_table hook 替换 sys_open和sys_openat系统调用为自定义函数，需要注意sys_call_table是只读的，修改前需要前修改其内存属性为可写。 直接修改内核源码，并编写驱动模块实现filter function进行过滤。 sys_call_ 阅读全文

摘要： 压缩壳并不一定会使so的体积变小，这一点和pc的压缩壳是相同的。 压缩壳实现思路 so被压缩后和之前分析的情况基本类似，这里主要看第一个PT_LOAD段的内存大小是远大于文件大小的。 对应的内存大小比文件大小多出来的这部分就是.bss了，就是第一个PT_LOAD段中最后的那段内存了。 这段内存保存了 阅读全文

摘要： ## 函数虚拟化 函数虚拟化保护和函数混淆保护整体思路差不多，将函数划分为若干个基本块。之前每一个基本块的代码是替换为等效花指令混淆，虚拟化的话就是将原有指令进行翻译，用自定义虚拟机去解释执行。 每次进入虚拟机执行前先保存寄存器环境 ![](https://img2023.cnblogs.com/b 阅读全文

摘要： so加固前后的格式变化和之前分析反调试类似，都是增加第一个PT_LOAD代码段的大小，并在原始so代码部分的最前面嵌入自己的代码，包括受保护函数混淆的后的代码。 函数混淆思路分析 函数受保护前如下 函数被混淆保护后发现代码头部首先会调转到嵌入代码中 查看嵌入代码自然是全都是花指令，老办法用unico 阅读全文

摘要： ## so加固分析 查看so文件加固前的`program header table`，  so文件被加固后`pro 阅读全文