duangsuse::Echo

🤔现在有的项目怎么这么不容易编译... 要自己再去找一些不常见的包手动编译，Boost 还必须要 static 的，可这个项目都 1k+ commits 了
https://github.com/wisk/medusa

只好换别的反汇编工具....

GitHub

GitHub - wisk/medusa: An open source interactive disassembler

An open source interactive disassembler. Contribute to wisk/medusa development by creating an account on GitHub.

43 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 13:56

duangsuse::Echo

🤔 有了符号们和开源库代码们的帮助，逆向工程进展很快，几乎只需要标记一下调试符号里的本地变量位置，然后偶尔 Radare2 反查一点常量、看点函数调用就可以了，现在只剩下主函数孤零零一个了。

40 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 14:47

duangsuse::Echo

发出了逆向工程好容易的声音（跑

41 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 14:48

duangsuse::Echo

有了 r2 的程序分析甚至 symbolic execution（迫真术语混入），标记孤立了一些栈帧本地变量和参数出来，我只需要拿鼠标一划 IDE 就会自动找到注释里面匹配的汇编指令

现在的问题是存在 call eax 动态调用（类似 JVM 的 invokevirtual，必须在运行时确认跳转地址），不过我有 JNI structure 们的帮助，可以算函数指针偏移量来推导调用的函数成员名称（甚至我也可以在标记完调试符号信息之后再『猜』参数）

41 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 14:52

duangsuse::Echo

#reveng #tools #share 分享一些开源机器代码 REverse engineering 工具 ❤️ == https://github.com/namhyung/dwarview ELF DWARF 调试符号信息查看器 == https://igio90.github.io/Dwarf/docs/installation.html 一个普通的（并非逆向工程用）调试器 == https://github.com/wisk/medusa 一个普通有 GUI 的 disassembler…

plasma 的完成度给人感觉很差劲，得 merge 一个 PR 才能用在 ELF 上，而且，好像居然用来对付动态链接库的话 capstone 反汇编引擎会爆炸，不知道为什么

40 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 15:16

duangsuse::Echo

plasma 的完成度给人感觉很差劲，得 merge 一个 PR 才能用在 ELF 上，而且，好像居然用来对付动态链接库的话 capstone 反汇编引擎会爆炸，不知道为什么

看来还是 Radare2 靠谱...

38 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 15:16

duangsuse::Echo

在 jni.h 的结构体定义和调试行号的帮助下，JNI 动态 call eax 问题迎刃而解，我有信心在只静态分析的情况下重写所有算法逻辑（至少我之前成功了一次） 🎉

37 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 15:37

duangsuse::Echo

在 Radare2 的强力动态分析（暴论）和 JNI 结构体的强力 C functionptr offset 计算辅助之下，酷安的 liba.so 验证逻辑即将全盘爆炸（悲）从此官方再不能逼死同人 😢

42 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 16:27

duangsuse::Echo

迫真手算 rodata 段偏移量 🤔

34 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 16:44

duangsuse::Echo

coolapk_a_kdev_2.zip

156.3 KB

今天的逆向进度

37 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 16:56

duangsuse::Echo

好过分，这是 loop unrolling （循环展开）么...

34 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 02:03

duangsuse::Echo

duangsuse 正愁这里的控制流太复杂不好分析又不能上动态直接看算法结果，忽然发现这其实是个被混淆的 Base64 string 🤔 验证不用愁了

33 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 02:14

duangsuse::Echo

duangsuse 正愁这里的控制流太复杂不好分析又不能上动态直接看算法结果，忽然发现这其实是个被混淆的 Base64 string 🤔 验证不用愁了

为什么完全还原算法逻辑更难？因为这么做需要你有很强的编译原理，最好还有 C 编程的功底...

而那些有点能力的『破解者』们，只需要知道它做什么，比如在这里，解码一个被混淆的 Base64
然后他们就可以直接动态分析，在 call sym.BD 上打上断点，返回之后 eax （修正，是 ebp-0x190）就是被解密 Base64 的字符串指针了，根本不需要知道，甚至都不用分析 Base64 解码调用的第一个参数是分配在栈上还是动态分配

31 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), edited 02:27

duangsuse::Echo

调试符号有什么用？🌚

32 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 02:49

duangsuse::Echo

无时不刻不在提醒着我 r2 分析出的哪个栈帧偏移量可能是 C 源码里的哪个局部变量，结果是逆向工程还原出整个逻辑都会轻松很多
所以不要小瞧这一点 debug information...

33 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), edited 02:50

duangsuse::Echo

酷安大佬们很聪明，我以为（对『破解者』来说）那么难看的 *char 操作都是酷大佬写的，可其实是 GCC 4.9 写的（跑

33 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 03:20

duangsuse::Echo

酷安大佬们很聪明，我以为（对『破解者』来说）那么难看的 *char 操作都是酷大佬写的，可其实是 GCC 4.9 写的（跑

[DuangSUSE@duangsuse]~/Projects/HackingCoolApk/liba/RE/dwarview% base64 -d
e7177eb11a13ea5672c543da1690e302dG9rZW46Ly9jb20uY29vbGFway5tYXJrZXQvYzY3ZWY1OTQzNzg0ZDA5NzUwZGNmYmIzMTAyMGYwYWI_7d3bcfe1ca700fdccf5a8595f98f70d8
{�{���խwy�z�g9�wZׯt{}6token://com.coolapk.market/c67ef5943784d09750dcfbb31020f0abbase64: 输入无效

有点意思了 🤔

33 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 03:22

duangsuse::Echo

[DuangSUSE@duangsuse]~/Projects/HackingCoolApk/liba/RE/dwarview% base64 -d e7177eb11a13ea5672c543da1690e302dG9rZW46Ly9jb20uY29vbGFway5tYXJrZXQvYzY3ZWY1OTQzNzg0ZDA5NzUwZGNmYmIzMTAyMGYwYWI_7d3bcfe1ca700fdccf5a8595f98f70d8 {�{��խwy�z�g9�wZׯt{}6token://com.c…

puts Base64.decode64(Base64.decode64('OGQwN2Y4OWY1OTU4YTVmY2NkZjAwN2FjMWVmY2IzZDcvSVdZd1lHTXlBVE16SW1ZbU5HWndVek41QURaMGd6TnpRVE8xWVdaM1l6WXZRWFpySlhZdDV5YXdGR2J2OTJZdTAyYmo5eUw2NFdacjlHZDIwM2UwOTYxYWQzNDVjMjc2NWFlMzFhMTFiZTc3MTdl').reverse)

32 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 03:28

duangsuse::Echo

酷安大佬貌似是拼接了一大堆包含时间、包名、UUID String 的信息，然后服务端也重复这个算法，比较 Hash 值么？

30 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 04:30

duangsuse::Echo

已经开始无聊了 🤔 全 TM 是 base64 + 拼接字符串

30 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), 04:37

duangsuse::Echo

相当无聊的面向子程序调用分析（COA

31 viewsduangsuse ¯\_(ツ)_/¯ |学渣 ∈ [E²PROM, 含幺半群), edited 04:48

About

Blog

Apps

Platform