最新公告
  • 欢迎您光临,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • iapp逆向专题

    epic框架和xposed框架实现的原理完全不同,xposed是直接入口替换,epic则是inline hook,即直接修改内存里面的代码,条件不足时才进行入口替换(因为有内联等优化,直接入口替换很可能会漏掉非常多方法)
    基于这个原理,我们可以得出一个非常自然的hook方法:读取entrypointer指向的内存,判断是否是ldr指令,如果是ldr就进一步判断跳转至的内存,如果不是来自应该来的地方就认为被hook了(epic会在入口处安装一段跳板,跳转至二段跳板位置,而这个二段跳板是使用malloc()分配的内存,所以此方法可行)
    这个方法在我的设备上能成功,但是缺点也非常明显:
    1.难以兼容
    2.对hook点要求严格
    所以最后还是放弃了。
    这种基于判断方法信息的方案基本都有一个共性,就是对hook点要求严格,使得很容易绕过。
    我们可不可以找到一个不判断方法信息的方案呢?
    仔细研究epic源码,我们发现,修改内存里的机器码之前,调用了一个名为epic_munprotect的方法,那这个方法具体做了什么呢?其实就是调用mprotect把要修改的内存页置为可写,以免发生段错误(默认情况下代码区是不可写的)
    那么我们就得到了一个方式,读取/proc/self/maps,如果发现有可读写且可执行的内存区域,并且来自dex/odex/oat/art/jar文件就认为不安全
    代码如下:
    s unsafe = false
    
    fr("/proc/self/maps",maps)
    sl(maps,"
    ",lines)
    for(line ; lines) {
      siof(line," ",start)
      s+(start,1,start)
      s+(start,4,end)
      ssg(line,start,end,p)
      //截取访问权限
      f(p == "rwxp") {
        //可读 可写 可执行 私有
        f(line *? ".dex" || line *? ".odex" || line *? ".oat" || line *? ".art" || line *? ".jar") {
          //这里我们只关心dex/odex/oat/art文件,so文件暂不检测
          s unsafe = true
          break
          }
        }
      }
    
    f(unsafe) {
      tw("当前环境不安全")
      } else {
      tw("当前环境安全")
      }
    当然这种方式也有缺点,如果hook完成之后再调用一次mprotect,把可写属性去掉就检测不出来了,不过现在还没人加这个保护
    
    
    1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!
    2.如有侵权请邮件联系客服!l联系邮箱:837609420@qq.com
    3. 本站不保证所提供下载的资源的准确性、安全性和完整性
    4.资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理!
    5. 如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    6. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    7. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    8. 如遇到加密压缩包,默认解压密码为"www。loveu8.cn",如遇到无法解压的请联系客服!
    9. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!
    幻梦资源网 » iapp逆向专题

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    幻梦资源网
    一个高级程序员模板开发平台