好久没写东西了,换工作之后忙得一比.你说创业?风太大没听清啊看了看以前写的东西,觉得以前写得太严肃了,从现在开始要轻松一点,要做一名逗逼码农. 本文不会介绍破解的细节,最终完成破解所编写的代码也不会公开.虽然这个游戏非常无耻,但已经上线运营了,我不想被查水表啊.所以,该文仅以这个游戏为例,讲一下如何使用IDA静态分析破解简单的cocos2dx-lua脚本加密. 对了,这里说的<舰娘Collection>是一个手游,不是那个舰娘,嗯. 为什么我要突然去搞破解呢?事情是这样的:某天,一个以前的关系

1. 问题 一些程序经过脱壳后(如用OD的dump插件),一些导入表信息丢失了,导致拖入IDA后看不到API的信息(如右图所示,第一个红圈处实际是GetCurrentProcessId),给分析造成极大影响.   2. 分析 从OD来看,41F480处的值就是API GetCurrentProcessId的地址,也就是壳修改后的导入表的位置,该地址在.rsrc Section内,即程序的资源段内,那么我们需要修复其导入表,以指向资源段内的地址 3. 修复导入表 <加密与解密>第3版的13.4.

软件交流群:571171251(软件免费版本在群内提供) krpano技术交流群:551278936(软件免费版本在群内提供) 最新博客地址:blog.turenlong.com 限时下载地址:http://pan.baidu.com/s/1boM583X KRpano网站中,有一些XML文件是被加密的,我们可以使用KRPano资源分析工具进行解密. 在如下的网站中:http://vr.pacificparkbrooklyn.com/park_stills.html 我们可以查看其中一个名为pp

View - Open Subviews - Local Type - INSERT键 - 输入新结构体 - 右击"Synchornize to idb" 之后再分析处按 T 就可以看到该结构体,进行解析.

1. 对项目右击,在文件资源管理器中打开文件夹 2.看debug里面的.exe     这个文件 函数的真实的名字 打开.exe文件就是还是显示,,, 3.debug模式有太多的断点信息还有许多不精简的文件生成 所以用IDA 看函数名在release模式下 还有发布            也是用release模式 4.用release模式  禁止优化 c/c++ 禁止优化 5. 6. 7.

几年前的笔记,搬运过来 ---   1 先根据运行程序得到的信息命名外围函数,主要函数大写开头 2 /添加注释 3 直接vim程序,修改alarm为isnan可以patch掉alarm函数 4 y 可以修改变量类型,函数返回类型 5 对于重要的全局变量,x查看每个引用的地方 6 subview打开local type窗口,插入后双击导入到structures窗口,     在f5窗口中可y修改变量类型     1 插入时可先插入连续int,abcd这样命名,确定对应字母含义后在structure

LuckyStar hctf2018 程序注册有TLS回调函数 char __stdcall TlsCallback_0(int a1, int a2, int a3) { char result; // al HMODULE v4; // eax HMODULE v5; // eax HMODULE v6; // eax int (__usercall *ptr_main)@<eax>(int@<ebp>); // esi signed int v8; // edi HANDLE

目录: 一. iOS 如何做才安全 二.ipa文件 三.沙盒 中的数据 四.Reveal:查看 任何APP 的UI结构 五.反编译工具:IDA 六.反编译工具:Hopper Disassembler 七.抓包:https数据的解密 iOS应用的安全性 常常被大家忽视. 一.iOS 如何做才安全: 详见<iOS如何做才安全> 二.ipa文件 1.AppStore里的ipa包 可以通过 iTunes 下载到电脑.iOS8.3以下系统的非越狱的手机上,可以用MAC上的PP助手等软件,直接把手机上的i

Sality.m分析 0x1.样本概述 FILE_A MD5:1C9A0E01C6033801AFC5A12DE1CC5BDC FILE_B MD5:4B6B70F4A199CF3EAC1554B08804BC4F FILE_C MD5:91741578019D3613EEBD6C8F1862548E 样本FILE_A是捕获的病毒文件:FILE_B是一款网络连接状态查看工具Tcpview.exe:样本FILE_C是在虚拟机系统中运行文件FILE_A使其感染样本FILE_B所得.本报告全部结果都是

一.前言 今天我们继续来看破解apk的相关知识,在前一篇:Eclipse动态调试smali源码破解apk 我们今天主要来看如何使用IDA来调试Android中的native源码,因为现在一些app,为了安全或者效率问题,会把一些重要的功能放到native层,那么这样一来,我们前篇说到的Eclipse调试smali源码就显得很无力了,因为核心的都在native层,Android中一般native层使用的是so库文件,所以我们这篇就来介绍如何调试so文件的内容,从而让我们破解成功率达到更高的一层.

源:http://blog.csdn.net/justfwd/article/details/45219895  这篇文章纯粹属于安全分析研究,请勿用于非法用途.如有侵犯到厂家,请告知作者删除 12306Android客户端每个请求包都会带个baseDTO.check_code(如下图)作为数据包安全及完整性校验码,这个校验码由libcheckcode.so生成    如果需要模拟购买火车票的过程,就要调用这个libcheckcode.so,不过这个SO使用dlopen无法加载.其ELF头,如下

Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码) 来源 https://blog.csdn.net/jiangwei0910410003/article/details/51500328 一.前言 今天我们继续来看破解apk的相关知识,在前一篇:Eclipse动态调试smali源码破解apk 我们今天主要来看如何使用IDA来调试Android中的native源码,因为现在一些app,为了安全或者效率问题,会把一些重要的功能放到native层,那么这样一来,我们前篇说到的

1 前言 瞻仰了k0shl和鹏哥 的漏洞分析,感慨万千,任重而道远. 2 系统环境和工具 windows 7 32旗舰版 windbg 3 poc 3.1poc复现 首先k0shl大佬给出的poc(): /*** Author: bee13oy of CloverSec Labs* BSoD on Windows 7 SP1 x86 / Windows 10 x86* EoP to SYSTEM on Windows 7 SP1 x86**/​#include <Windows.h>​#pra

目录 cm2 逆向分析 前言 查壳 逆向分析 encrypt函数 POC代码 cm2 逆向分析 前言 这是逆向实战之CTF比赛篇的第3篇,在这里我就不再讲的特别小白了,有些简单操作可能会略过. 查壳 程序未加壳,可直接IDA分析. 逆向分析 其实这程序和第2篇的挺像的,变量名和函数重命名后如下,主要分析encrypt函数. encrypt函数 判断输入字符串的长度是否位27. //修改后 int i; for( i=0;i<27 && szInput[i];i++) //逻辑与 (只

这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx "true" 0x03 set userwx "false" CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何

阿里移动安全团队与中国泰尔实验室无线技术部的通信专家们一起,联合对国内运营商某型Femtocell基站进行了安全分析,发现多枚重大漏洞,可导致用户的短信.通话.数据流量被窃听.恶意攻击者可以在免费申领一台Femtocell设备之后,迅速地将其改造成伪基站短信群发器和流量嗅探器,影响公众的通信安全. 家庭基站(Femtocell,又称飞蜂窝,Femto本意是10的-15次方)是运营商为了解决室内覆盖问题而推出的基于IP网络的微型基站设备,通常部署在用户家中,甚至直接放在桌面上. 随着运营商网络建设

是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PEB中的Moudle链表, kd> dt _PEB +0x00c Ldr              : Ptr32 _PEB_LDR_DATA kd> dt _PEB_LDR_DATA nt!_PEB

一.            数据加密的概念 1.  基本概念 2.  基本功能 3.  加密形式 二.            数据加密的项目应用和学习 1.  媒体加密:DRM 2.  文件加密:文本加密.pdf.word 3.  数据加密:ASP.NET(C#)中的数据加密 4.  硬件加密:加密狗 三.            数据加密的发展趋势 四.            网络数据加密算法分类 1.  根本不考虑解密问题:MD5. 2.  私用密钥加密:DES.AES 3.  公用密钥加密:

一.概述 病毒伪装为NirSoft公司的软件NirCmd并加了MPRESS壳,脱壳后是一个混淆过的PE程序,运行时会用到类似PE映像切换的方式来释放出实际的恶意代码,恶意代码主要对文件进行加密. 二.行为分析 母体解密 指定地址跳转.通过函数返回地址+函数第一个参数来确定跳转到的地址,这里主要用于免杀和增加逆向分析难度. 释放恶意代码.多次跳转后到达PE解密的地方,首先从第一个区段中获取到用于PE替换的数据.接着修改PE加载地址的内存保护属性,然后利用获取到的数据对PE进行替换修改. 执行加密代

总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING. 此五种

前言一.工具及软件介绍二.逆向分析2.1.找到提示错误注册弹窗2.2.分析跳转处代码2.3.=2D 函数分析2.3.1.获取注册码处分析2.3.2.3处分支分析2.3.2.1.9C情况2.3.2.2.FC情况2.3.2.3.AC情况2.3.3.用户名处理函数2.3.3.1.函数调用处分析2.3.3.2.函数内部分析2.3.4.用户名处理函数返回值及剩余代码分析三.注册机编写3.1.注册机外观3.2.结果验证3.2.1.版本授权3.2.2.天数授权四.网络验证4.1.两处判断网络验证是否通过处4.