2503_90751938的博客

原创 Xposed中动态加载的类如何Hook（dy)

本来想hook 某音极速版app的，从application中 attachBaseContext 方法开始，正常的基类Activity都能hook到，但是这个字节的app好像使用动态加载技术，商城部分的代码都是app打开后动态加载,我在加载后再设置classloader也不行，后面动态加载的类都hook不到会报错，由于对xposed还是不是很熟有没大佬解答下如何解决。这是是hook动态载入的类报错错误提示 java.lang.NoSuchFieldError: no type "LJ;

原创 某音旧版本X-Argus的加密key的获取

"GeVxhvFoBjyq7+dNVHAQtXMxc39qUapIeHqQh6Uc76A=", # 抖音火山版(老版本)"cY+CAKtjNGQRUDrD5B2qu7NILFyC++FdPRuHynmef3E=", # 抖音火山版。"nlsF8XSbbY3t+6Me0vNx/dIB8oH0NVfSaT3tkPcYxoo=", # 抖音极速版。"lrpicn/pKdjB7w085M0UQbwENZ+dobF8yhcUoGLefFQ=", # 抖音盒子。

原创 某音App滑块

目前最新版本是H5_SDK_VERSION = 3.5.74，依然是两次请求：*/captcha/get */captcha/verify重要的是后者。captchaBody算法 更新了SHA512哈希的盐值，加密完成后对该字节数组进行移位操作，相关的有一个swap_num_list: [0, 3, 2, 1] 这个插桩就可以直接看到，时机在滑动验证码后。我们对captchaBody密文进行解密看看里面提交了哪些参数？这里就看下图片，具体细节不方便展示了。*/captcha/get返回解析而来滑块轨迹。

原创 某强祖师 手游 逆向 分析

常用网络关键词搜索 "network" 发现了特别可疑的点 "msgid" 还有 "Packet" "UnPacket" 符合我们所需的 组包 解包的点 那么去看SO吧 跳转到偏移。这里也是分析了 他写入了一个整数52462 通过十六进制转换 得到的内容与消息头符合 那么说明找对地方了 开始Hook。通过抓包发现 头部 貌似是固定的 后面内容不知 那么先在”dnSpy“ 里面打开Dump 出来的 DLL文件看看吧。他连接后做的第一件事 是发送了一个 不知道是什么的内容 返回了 c3070000。

原创 简单通过IDA字符串搜索静态修复类FProperty、FField、UFunction、UEnum、UStruct下所需偏移

原创 tk播放协议算法

关于TikTok的播放协议和算法代码，以下是与该平台推荐系统和视频分发机制相关的技术解析。需要注意的是，TikTok的完整算法属于商业机密，但通过公开研究和逆向工程可推测部分实现逻辑。

原创 tk私信协议算法

那目前我们根据已经有信息,看到代码里有用 ../../net/tt_net/ipc/ipc_channel_reader.cc" 这样的方式去写的。grep的安装可以看这个 https://blog.youkuaiyun.com/qq_29752857/article/details/140169107。// `this.returnAddress` 是调用 `sub_190028` 的上层函数的返回地址。Interceptor.attach(sub_190028, { // Hook 目标函数。

原创 深入浅出 Android Hook 技术：Frida 框架入门系列

虽然我们可以通过计算输入正确的值（例如输入 0 和 4），但在逆向中，更直接的方法是 ​Hook 该方法并篡改参数，无论用户在 UI 输入什么，强制让传入逻辑的参数满足等式。但在 Android 开发中，很多类（如 Activity​, Service​）是由系统管理的，如果我们自己 new 一个 Activity，它不仅无法控制当前的 UI，还可能导致应用崩溃。​策略​：由于最终校验调用了标准的 C 库函数 strcmp​，我们可以直接 Hook libc.so​ 中的 strcmp​。

原创 某PC游戏残血ACE反作弊ring3下的绕过分析

一次有趣的研究，对于游戏这个ACE加载位置的设计有点难以置信，过于好绕过了，而且后面也没有心跳检测什么的，不加载ACE也不会导致游戏掉线，感觉...就像...把vmp当upx加一样，也希望相关游戏厂商能尽快修复该问题吧。前几个月就听说了mw在新版本上实装了ACE反作弊，上个月有空的时候去研究了一下，发现绕过方式出奇的简单，最近有空就分享一下分析过程吧。，很可疑，拉IDA里分析一下。现在重新启动游戏，右下角已经不会出现ACE加载的提示了，CE测试了一下内存读写，下断调试都是没有问题的了，成功绕过！

原创 某安全so库深度解析

针对“看门狗+自爆”架构，最优雅的破解方式是让看门狗失效。方案 A (推荐): 沉默看门狗操作：Hook。逻辑：在sub_1CEF8执行期间，检查传入的线程函数地址。如果地址匹配sub_1C544，将其替换为NOP(空函数)。效果：线程正常启动，但没有任何检测逻辑运行。方案 B (进阶): 欺骗视觉操作：Hook 内存读取相关函数。逻辑：当sub_26334试图读取地址时，返回原始未 Hook 的指令字节 (0x...)，而非被 Frida 修改后的跳转指令。效果：看门狗永远认为内存是纯净的。

原创 新版喜马拉雅Ollvm混淆Signature参数解析

案例为最新版某马拉雅,可在豌豆夹下载。

原创 新版喜马拉雅Ollvm混淆Signature参数解析

案例为最新版某马拉雅,可在豌豆夹下载。

原创 TD路由器环境模拟与漏洞分析

另外一种方式是直接编程实现/var/cfm_socket的unix socket。正常情况是直接在EMUX的路由器环境中模拟/var/cfm_socket通信，但是路由器的环境不支持PYTHON，需要在远程运行一个TCP服务，然后使用socat命令将远程的TCP服务端口映射到路由器的/var/cfm_socket路径。HTTPD的报错提示分为两个部分，一个是connect和func:cfms_mib_proc_handle的错误，另一个是goahead的错误，优先分析goahead的错误。

原创 AI时代-逆向工作者该如何用好这一利器

当你逆向一个新的app，你把目前的进度输入进去，可能遇到意外的惊喜。可能遇到的问题就是，知识过多无法索引的问题，但是随着大模型的发展，cursor等工具都可以索引到了40-50w行，所以这个不是特别大的问题，尤其是augment的mcp索引引擎能够索引几百万行。

原创 城楼协议算法

关于“城楼协议抢票”，目前公开信息中并未明确提及具体的技术协议或操作流程。

原创 unidbg直接调用tiktok so生成签名

Java层找了一遍始终找不到签名关键字符串，那很大可能是在native层设置，在native层在 https请求发出时进行设置。参数1是https请求的url，参数2看起来是https请求的header, X23的地址位于 libmetasec_ov.so模块的0x88ee0处。v128是从某个函数调用返回的结果，对该结果分割处理就得到了参数签名字段，因此用frida hook这里，然后输出调用时的两个参数查看。如上，确定无误，四个签名字段和值是一块返回，以行分割后分别设置在请求头中。

原创 TK抓包协议分析:So层逆向

第三个参数是一个回调函数,这里他的返回值1表示成功,0表示失败,那我们手动把他Hook为0,让他不支持quic协议,实现降级。等,我们是为了解决抓包问题,那很有可能是在net目录下(network),那来搜索一下。开了抓包以后APP直接是网络无连接了,并且抓到的请求也是不正常的,下面我们就开始定位。看了半天感觉也没啥有用的东西,那下面我们整理一下已经有信息,来猜测一下,后续怎么进行。那可以猜测,我们真正需要Hook的那个函数也有可能是这样加载的,可以字符串搜索一下。

原创 TikTok登录注册协议

有需要进一步交流的大佬们可以留言联系，后续我可能也会更新一些风控相关的东西，当然仅供学习参考。如：移动端验证码的风控策略，如何稳定持久的通过验证码解决掉风控及版本更新方案，各地区小店商品采集策略，设备注册相关的分享。以下是完整的协议流程，其中核心流程包括：获取手机号/初始化设备环境/发码/风险报告/接码/提交验证码/设置账号初始参数/全参提取。该Demo演示的为美区账号的协议模拟（登录/注册）可以清楚地看到账号都在线没问题。以上即是web端的注册全流程以及可能会出现的一些情况说明，仅供学习参考！

原创 TikTok滑块: 全流程梳理及稳定性优化

滑块基本区分滑块大体可以分为三块域名风控,也就是不同国家风控不一样难度顺序是也就是说 只要东南亚的一个国家能稳定跑,那东南亚就是通杀了, 东南亚可以正常run的话 英美随便跑滑块唯一标识Detail怎么判断是不是出现滑块?看返回的响应头,如果response.headers里 有detail信息就说明 出现了滑块请求图片路由拿到Detail以后可以去请求图片了,图片响应是一个Wasm加密,直接扣下来就行了,不用死磕纯算解密完Wasm以后就是两个完整的图片Url计算真实距离。

原创 unidbg还原pangle(TikTok 旗下)算法

静态分析动态调试: debug不用多说trace read: 跟踪内存的读取trace write: 跟踪内存写入trace code: trace 执行的汇编日志方便分析trace后的汇编, 根据汇编还原具体的算法12345 123456789101112131415161718192021222324252627 12345 123456789101112131415161718192021 1234567891011121314151617181920

原创 SMC自修改代码

自修改代码（SMC, Self Modifying Code）是在程序执行过程中修改其自身指令的技术。通常，这种做法旨在通过减少指令路径长度来提高性能，或者为了避免重复代码，从而简化维护。自修改代码一般是有意进行的，目的是优化或保护程序的运行，而不是由于错误导致的意外修改。在逆向工程中，自修改代码通常表现为大量的无序代码，未被执行的部分无法直接分析。通过动态修改代码或数据，程序能够在运行时自我解密，防止静态分析工具的破解。

原创 RC4算法逆向分析

在密码学中，RC4 是一种流加密算法，密钥长度可变。它加解密使用相同的密钥，因此也属于对称加密算法。RC4 是有线等效加密（WEP）中采用的加密算法，也曾经是 TLS 可采用的算法之一。流密码也属于对称密码，但与分组加密算法不同的是，流密码不对明文数据进行分组，而是用密钥生成与明文一样长短的密码流对明文进行加密，加解密使用相同的密钥。也就是说，RC4不是对明文进行分组处理，而是字节流的方式依次加密明文中的每一个字节。

原创 对某某漫画的算法还原测试

这次在这个APP上面收获了不少东西，frida使用，unidbg使用，idapython去除花指令等等后面需要加强的就是学习一个360加固的修复运行这种，提高一下自己对壳修复的能力如果上面文章有侵权行为，请联系我删除。

原创 Frida 脚本无 Root 一键持久化方案：将 Frida 脚本打包至 Xposed 模块、直接注入APP、生成 .so, .dll

我的目标是：只需运行一行命令，就能自动打包出 Xposed 模块、已固化 Frida 脚本的 APP 包，以及可注入运行 Frida 脚本的 .so 和 .dll 文件。实际上，frida-inject 和 frida-server 注入的是 frida-agent，但整体结构类似。最初尝试使用 frida-gadget，但在 Android 16 上遇到问题：脚本完全不执行，也没有任何错误提示，只好放弃。接着，我们找到 Magic 标记在二进制文件中的位置，定位其所在的 Segment，并获取其。

原创 对某市场外挂驱动逆向分析

误入了一个外挂驱动交流群，规模挺大；进来就看见难绷的宣传语贴脸无敌稳定，无特征，无模块，独家核心技术？哈哈以测试的名义加了驱动作者，SDK眼花缭乱上手看看是个什么货色。

原创 Flickr协议算法

通过关键词的设定，软件可以快速采集到与您产品或服务相关的群组，并自动采集群组成员信息。通过批量关注目标用户，对方会收到消息提醒，，展示您的账号昵称，从而引导他们进入您的个人中心。软件提供了批量注册账号的功能，为用户省去了繁琐的手动注册过程。您只需简单设置参数，软件将自动完成注册，确保账号注册的高效和顺利。登录账号是进行推广和引流的关键步骤之一，软件支持自动登录账号，让您无需手动操作，节省宝贵的时间和精力。

原创 skype协议算法

自动创建群聊，强制邀请陌生人进去后发送群消息，支持设置每个账号要求多少人进群，邀请完成后给这个群推送一条指定的消息内容，群名称支持自定义设置。2. 手机号码和邮箱号筛选：通过软件的筛选功能，您可以轻松判断手机号码和邮箱号是否存在skype用户，批量筛选出。1. 自动登录账号：skype推广软件支持自动登录账号，减少了繁琐的手动操作，提高推广效率。5. 批量添加好友：除了私信功能外，软件还支持批量添加好友。3. 批量群发私信：该软件支持批量群发私信，您只需设置好私信内容，即可批量发送给多位。

原创 likee协议算法

它能够帮助用户快速拓展likee短视频的用户群体，并通过自动上传视频和批量关注推广提升视频曝光量和宣传效果。第四：除此之外，该软件还支持批量关注likee短视频的用户，并且可以根据用户需求自动发布多条视频。用户可以事先设定好需要发布的视频和内容，软件会自动完成视频的发布，提升短视频推广效果。第二：首先，该软件支持自动采集likee短视频的视频评论用户，这为用户提供了方便快捷的获取到likee短视频的用户群体，从而在推广过程中更加便捷。

原创 tg手机号检存开通协议

软件支持多账号，多线程批量运行检存，支持间隔延迟时间设置和出现频繁自动延迟多少秒后继续尝试，支持过滤在线多少天后的用户，存在（开通）或满足条件的用户会自动保存，包含用户昵称，用户username ，用户ID。支持批量导入session协议号文件登录。

原创 Reddit私信协议

软件自动采集热门帖子并且按最新评论 规则采集帖子的评论用户，支持过滤评论时间大于多少天的评论用户。软件支持对采集到的用户进行批量发送私信，支持自动登录账号，支持出现频率自动延迟多少秒后继续尝试。

原创 tk私信协议算法

TK私信采用端到端加密技术（E2EE），消息在发送前由客户端加密，仅接收方可解密。加密密钥通过Diffie-Hellman算法动态生成，确保传输过程不可被中间节点破解。为降低延迟，TK使用QUIC协议替代TCP，消息平均传输延迟控制在200ms内。读状态同步采用最终一致性模型，允许短暂的状态不一致。

原创 剑网三lua脚本

（《剑侠情缘网络版叁》）作为一款MMORPG游戏，支持通过Lua脚本扩展功能。以下是关于剑网三Lua脚本开发的实用信息。剑网三的Lua脚本主要用于插件开发、界面定制和自动化任务。Lua是一种轻量级脚本语言，语法简单易学，适合游戏内功能扩展。通过合理利用Lua脚本，可以大大增强剑网三的游戏体验。建议从简单功能入手，逐步深入开发。剑网三提供了丰富的Lua API供开发者调用。

原创 tiktok点赞关注私信协议

整个系统设计高效、可靠，但具体实现细节受TikTok内部优化影响。如果您有特定技术问题（如API调用示例），我可以进一步解释。

原创 AI逆向新突破！-业内首个完全使用AI，不写一行代码完成JAVA层和SO层的全流程分析

总结：再打通了静态分析与动态调试之后，AI已经完全从一个辅助者，变成了一个合格的逆向工程师，这次的AI使用经历重塑了我的认知，原来一行代码都不用写，也不需要懂JAVA或者汇编代码，就可以完成全流程的静态分析与动态调试，AI现在的能力已经可以替代我们人类了。这里AI给出了一大堆的分析结果，感觉人都晕了，但是感觉又说得很对，别慌，抓住主线，AI提示我们可以使用frida进行hook，但是别忘了，我们的思路是静态分析到无法分析的程度，java层分析了，还有so层没去分析呢，别全部都听AI的。哪些信息不完全确定？

原创 AI逆向-自定义mcp辅助cursor实现app逆向

adb的mcp工具倒是有一些，但是各有各的不足，frida相关的mcp比较少，且基本不可用，比如说不支持自定义frida路径，不能自动端口转发，工具定义太复杂等，于是，基于以上背景，我们自定义了两个mcp，分别是。至于如何开发以及调试属于自己的MCP工具，后续会专门出文章，我们先来看结果,这两个mcp分别有自己的函数，大模型可以根据当前的上下文，调用这些工具的组合。所以，要想让大模型进行逆向，要解决两个问题。可以看到已经分析出来加密的格式了，问下大模型还需要什么，大模型告诉我们的下一步方案，给出。

原创 初窺NP手遊保護

某天在應用商店挑選「幸運兒」時，一不小心選到了NP保護的，我想這便是天意。自那天起便開啟了這段漫長的分析之旅，數以百次的調試，最後留下本文。樣本: anAuZ29vZHNtaWxlLnRvdWhvdWxvc3R3b3JkX2FuZHJvaWQ=

原创 安卓逆向的核心流程

检测要么基于原理，比如lldb正在进行动态调试，status会有TracerPid的信息，APK只要检查TracerPid字段，就能知道是不是被动态调试。如果知道安卓逆向的核心流程有哪些，对安卓逆向有一个整体的认知，就能比较清晰地知道自己缺什么和学什么。要么是基于特征进行检测，比如frida的默认端口是27042，APK只要检查端口27042是不是存在，就能知道是不是被frida工具入侵了。5、代码虚拟化：原本的一句代码，变成了一套虚拟代码和虚拟机器，虽然运行的结果一样，但分析难度特别高。

原创 小红书x-xx-mua算法分析

新手没什么经验，花了很多天时间才定位到..x-xx-s1的算法用了这个值，看来复杂很多本来想用chomper去验证的，问题很多，比如遇到std::string就崩了，x-xx-s1算法传入了4个字段，看着就害怕 :(

原创 某物设备注册学习

里面还有与设备相关的参数，smid和bssm值就由fcuuid字段生成，这里我就是直接用ios中的改机软件改掉的。这一套就可以实现hook注册设备，并使用设备去注册账号请求平台登陆数据了当然，风控一直再改，前两周方案一跑，意气风发，这两周就只能两眼一瞪，我干xx。

原创 Apatch内核模块之svc监控和栈回溯

现代 app 的壳中有大量的 syscall 的直接调用，想要知道其中的调用参数以及结果有以下方法：1、使用 frida 进行内存搜索 svc 0 指令的机器码（01 00 00 D4)，然后自己想办法干掉2、使用 seccomp 进行拦截，使用 seccomp 的过程中可能会遇到一些奇奇怪怪的问题3、使用内核模块在内核态进行拦截在 Apatch 之前编写的内核模块需要针对单独的内核进行编译，并且编译环境还需要完整内核的依赖文件，这种方法还需要修改内核设置并将内核放入到系统映像中重新刷机。