摘要:
ecapture ebpf利用uprobe/uretprobe可以hook用户层函数,通过对https SSL层的SSL_write和SSL_read进行hook可以拦截明文数据信息。大佬的开源项目:ecapturehttps://github.com/gojue/ecapture,编译参考:htt 阅读全文
摘要:
之前通过修改内核插桩并编写内核模块的方式hookdo_sys_open函数(这种方式有点像tracepoint,都属于静态探测),这种方式优点是可以hook内核中的任意函数,但是需要编译内核和驱动模块较为麻烦。 eBPF相当于在内核中定义了一个虚拟机,能够加载eBPF字节码并依赖kprobe,upr 阅读全文
摘要:
拉取源码 当前pixel6是android13,所以选择了common-android13-5.10分支 接着就需要拉取对应分支的内核代码 mkdir ~/bin PATH=~/bin:$PATH curl https://storage.googleapis.com/git-repo-downlo 阅读全文
摘要:
sign分析 首先对https进行抓包,密码验证接口的http头部有一个x-sign字段的值为3bb776e25f1f4f7334f706d723adae79e26a6a56 hook libc.so的字符串和内存相关处理函数,然后进行栈回溯。可以hookmemcpy, memmove, memcm 阅读全文
摘要:
PackageManagerService获取签名 正常APP中获取PackageInfo中的签名信息是通过Binder通讯向PackageManagerService发送TRANSACTION_getPackageInfo请求,同时设置请求的参数的flag为GET_SIGNATURES。当Pack 阅读全文
摘要:
Binder跨进程通讯 Binder跨进程通讯需要四部分参与工作:Client端,Server端,ServiceManager和Binder驱动,整体工作流程如下。 Server端创建Binder本地对象,然后通过Binder驱动向ServiceManager进程中注册添加服务。 Client端通过 阅读全文
摘要:
编写驱动模块进行sys_call_table hook 替换 sys_open和sys_openat系统调用为自定义函数,需要注意sys_call_table是只读的,修改前需要前修改其内存属性为可写。 直接修改内核源码,并编写驱动模块实现filter function进行过滤。 sys_call_ 阅读全文
摘要:
压缩壳并不一定会使so的体积变小,这一点和pc的压缩壳是相同的。 压缩壳实现思路 so被压缩后和之前分析的情况基本类似,这里主要看第一个PT_LOAD段的内存大小是远大于文件大小的。 对应的内存大小比文件大小多出来的这部分就是.bss了,就是第一个PT_LOAD段中最后的那段内存了。 这段内存保存了 阅读全文
摘要:
## 函数虚拟化 函数虚拟化保护和函数混淆保护整体思路差不多,将函数划分为若干个基本块。之前每一个基本块的代码是替换为等效花指令混淆,虚拟化的话就是将原有指令进行翻译,用自定义虚拟机去解释执行。 每次进入虚拟机执行前先保存寄存器环境 ![](https://img2023.cnblogs.com/b 阅读全文
摘要:
so加固前后的格式变化和之前分析反调试类似,都是增加第一个PT_LOAD代码段的大小,并在原始so代码部分的最前面嵌入自己的代码,包括受保护函数混淆的后的代码。 函数混淆思路分析 函数受保护前如下 函数被混淆保护后发现代码头部首先会调转到嵌入代码中 查看嵌入代码自然是全都是花指令,老办法用unico 阅读全文