使用 inline 内联函数对抗逆向分析

最新推荐文章于 2025-05-25 23:28:19 发布
最新推荐文章于 2025-05-25 23:28:19 发布
阅读量926 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: iOS/MacOSX/移动安全 文章标签: iOS 黑客攻防 iOS 逆向 iOS 加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SysProgram/article/details/86760534
本文探讨了如何利用inline内联函数来对抗iOS应用的逆向分析。通过将敏感函数如加密函数设置为内联,可以避免在汇编层面上出现明显的函数调用,增加攻击者分析参数和返回值的难度,从而提高代码的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在 ARM 汇编里函数调用是使用 bl 指令跳转到函数地址,攻击者逆向分析很容易找到调用过程,分析参数和返回值。

可以将一些敏感的函数,比如将加密函数写成 inline 内联,无论代码里调用了多少次函数,编译器会将整个函数代码拷贝到需要调用的地方,而不会使用 bl 指令跳转,不能明显的看出函数参数传递和返回值,大大增加了分析的难度。
以下是一个简单的异或加密函数:

char* xor_encrypt (char *inbuf, int len){
 
    char *outbuf = malloc(len);
    for (int i=0; i <= len; i++) {
        
        outbuf[i] = inbuf[i] ^ 0x33;
    }
    
    return outbuf;
}
 
- (void)viewDidLoad {
    [super viewDidLoad];
    // Do any additional setup after loading the view, typically from a nib.
    
    char *str1 = xor_encrypt("123", 3);
    char *str2 = xor_encrypt("456", 3);
    char *str3 = xor_encrypt("789", 3);
       
}

反汇编的效果如下:

xor_encrypt 函数的反汇编代码如下:

inlineTest`xor_encrypt:
    0x7b3f0 <+0>:  push   {r7, lr}
    0x7b3f2 <+2>:  mov    r7, sp
    0x7b3f4 <+4>:  sub    sp, #0x10
    0x7b3f6 <+6>:  str    r0, [sp, #0xc]
    0x7b3f8 <+8>:  str    r1, [sp, #0x8]
->  0x7b3fa <+10>: ldr    r0, [sp, #0x8]
    0x7b3fc <+12>: blx    0x7efd8                   ; symbol stub for: malloc
    0x7b400 <+16>: movs   r1, #0x0
    0x7b402 <+18>: str    r0, [sp, #0x4]
    0x7b404 <+20>: str    r1, [sp]
    0x7b406 <+22>: ldr    r0, [sp]
    0x7b408 <+24>: ldr    r1, [sp, #0x8]
    0x7b40a <+26>: cmp    r0, r1
    0x7b40c <+28>: bgt    0x7b42c                   ; <+60> at ViewController.m:324
    0x7b40e <+30>: ldr    r0, [sp]
    0x7b410 <+32>: ldr    r1, [sp, #0xc]
    0x7b412 <+34>: add    r0, r1
    0x7b414 <+36>:
最低0.47元/天 解锁文章

200万优质内容无限畅学
[系统安全] 逆向工程进阶篇之对抗逆向分析
H4ppyD0g的博客
10-14 2517
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
爬虫逆向:一文掌握GDB工具的各种使用(爬虫开发中的调试利器)
数据知道的博客
05-01 5795
GDB 是 GNU 项目中的开源调试工具,主要用于 C/C++ 程序的调试,但也支持其他多种编程语言。它是 Linux/Unix 系统下最常用的调试器,具有强大的功能和灵活性。在爬虫开发中,GDB也是一个强大的调试工具。# 创建pretty printerpythonend。
20145228《网络对抗逆向及Bof基础
weixin_30340617的博客
03-01 104
实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 我们将学习两种方法: •利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,...
5G NR PBCH之DMRS信号生成
最新发布
夫子喵的博客
05-25 1096
DMRS是终端(UE, user equipment)用于估计PBCH信道的参考信号,并根据评估所得信息UE进行PBCH解调并随后解码主信息块,其核心功能是提升数据传输的准确性和可靠性。显然,UE搜索完PSS和SSS之后,将据此计算得到物理小区标识(PCI,Physical Cell Identity),接下来需要解调PBCH。由于5G NR中没有小区专用参考信号(CRS,Cell-specific Reference Signal),因此要解调PBCH信,UE须先获得PBCH DMRS的位置。
反汇编->C++内联
weixin_30675967的博客
07-17 162
C/C++提供了内联函数机制内联函数就是向编译器建议:编译这个函数的时候.直接把函数展开,而不是进行函数调用call.当然编译器并不接受这个建议.仍然把他当做普通函数进行编译使用内联函数的优点:减少函数调用的操作.也就是免去了保存堆栈现场,返回地址,参数进栈.分配栈空间,跳转.回收栈空间.恢复堆栈现场,虽然使用宏函数可以实现其效果.但是宏函数不能在编译阶段提供类型检查,为bug留下隐患,内联函数在...
CTF中干扰逆向分析的几种技术的介绍和解题思路
weixin_43456810的博客
12-13 3223
CTF中干扰逆向分析的几种技术的介绍和解题思路 常见的干扰逆向分析的技术:花指令,反调试,加壳,控制流混淆,双进程保护,虚拟机保护技术 1.花指令 这是一种比较简单的技巧,在原始的代码中插入一段无用的,能够干扰反汇编引擎的代码 解题思路:花指令主要影响的是静态分析,在IDA中,可以手动将花指令patch为nop空指令 2. 反调试 反调试技术是指在程序运行过程中探测其是否处于被调试状态,如果程序正处于被调试,则无法正常运行 几种Linux下常见的反调试方法: 利用ptrace linux下的调试主要是通过
反汇编 之C 内联函数
xiaozhi
03-29 1226
#include <stdio.h> /* * 内联函数 */ inline int max(int a, int b) { if (a > b) return a; return b; } int max(int a, int b); int main(int argc, char **argv) { printf("%x\n", max(0x666, 0x777)); printf("%x\n", max(0x666, ar...
inline_syscall:内联syscall使得在clang上的Windows变得容易
02-03
内联syscall(inline syscall)是一种在程序中直接调用操作系统系统调用的技术,它通过将系统调用代码内联到用户空间的代码中,减少了函数调用的开销,提高了性能。在标题和描述中提到的"inline_syscall:内联...
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
内联挂钩(Inline Hook)是计算机编程中一种高级技术,主要应用于逆向工程、调试以及系统监控等领域。在64位环境下,内联挂钩的实现相比32位环境更为复杂,因为64位架构通常有更严格的指令集和内存对齐要求。本文将...
内联函数背后的原理】:汇编视角下的调用优化揭秘
![C++的内联函数与宏定义]...内联函数是现代编程语言中一种常见的优化手段。它通过将函数体直接嵌入到调用点,减少传统函数调用的开销,从而提高程序的执行效率。尽管
内联函数
haimianjie2012的专栏
03-16 308
为什么内联函数,构造函数,静态成员函数不能为virtual函数? 1> 内联函数 内联函数是在编译时期展开,而虚函数的特性是运行时才动态联编,所以两者矛盾,不能定义内联函数为虚函数。 2> 构造函数 构造函数用来创建一个新的对象,而虚函数的运行是建立在对象的基础上,在构造函数执行时,对象尚未形成,所以不能将构造函数定义为虚函数。 3> 静态成员函数 静态成员函数属于一...
HOOK钩子技术1 inline HOOK内联钩子
Catch me if you can
05-02 4552
内联钩子改变函数的第一条指令,通过跳板跳到伪造的函数上。 函数在使用过程中有时候要执行本身已经挂钩的函数,这样就需要先解钩。
C++笔记 第六课 内联函数分析---狄泰学院
YLC_慕类的博客
10-20 268
如果在阅读过程中发现有错误,望评论指正,希望大家一起学习,一起进步。 学习C++编译环境:Linux 第六课 内联函数分析 1.C++中的const常量可以替代宏常数定义 如: const int A = 3; &lt;–&gt; #define A 3 C++中是否有解决方案替代宏代码片段呢?有,内联函数 2.内联函数 C++中推荐使用内联函数替代宏代码片段 C++中使用inline关键字声明内...
【C++】初阶 --- 内联函数inline
weixin_74937672的博客
08-06 765
🦀宏的优缺点:🚩优点:1.增强代码的复用性2.没有类型的严格限制2.提高性能🚩缺点:1.不方便调试宏(因为预编译阶段进行了替换)2.导致代码可读性差,可维护性差,容易误用(语法坑很多)3.没有类型安全的检查🦀内联函数的优缺点:🚩优点:1.inline定义的内联函数,函数代码被放入符号表中,在使用时进行替换(像宏一样展开),不需要建立栈帧,效率很高2.类的内联函数也是函数。编绎器在调用一个内联函数,首先会检查参数问题,保证调用正确,像对待真正函数一样,消除了隐患及局限性。
C++深度解析(4)—内联函数
小虾米编程
07-17 518
1.常量与宏回顾 C++中的const常量可以替代宏常数定义,如: const int A= 3; ←→ #define A 3 C++中是否有解决方案替代宏代码片段呢? 2.内联函数 C++中推荐使用内联函数替代宏代码片段 C++中使用inline关键字声明内联函数 inlineintfunc(inta,intb) { returna<b?...
NR PDSCH(四) DMRS
asd199086的博客
09-13 8357
参考信号相关的所有内容都在38.211 中有介绍。DMRS是用于信道估计,服务于UE信道解调的。基站将DMRS穿插到各种信道的时频资源里面去,伴随着数据一起发送给UE;对UE来说,DMRS是一个确知信号,UE根据DMRS可以会得到表征信道特征的估计矩阵,然后就可以根据信道特征矩阵,去对应的位置解析承载的内容。那下面就来看看PDSCH DMRS。
【5G#03】PDSCH DMRS
热门推荐
阿米尔C 的技术博客
08-28 4万+
本文主要介绍以下内容: 1、什么是DMRS,为什么要使用DMRS? 2、什么是DMRS的映射类型?DMRS有哪几种映射类型? 3、UE怎么获取DMRS的时域起始位置? 4、什么是DMRS的配置类型?DMRS有哪几种配置类型? 5、UE怎么计算DMRS的时频位置? 6、DMRS信号与天线端口是什么关系?为什么需要CDM和OCC?为什么DMRS就能用来估计PDSCH? 7、UE怎么动态的获取天线端口和符号长度? 8、映射到物理资源中的DMRS序列是什么样的? 1、什么是DMRS,为什么要使用DMRS ..
[无线统计设计与国际标准]【chapter 1】[参考信号设计]【DMRS】
4AM_明朝百晓生
05-09 2358
概述 DMRS 前导前置 附加DMRS 导频 上下行对称设计 支持层数 DFT-S-OFDM 波形的上行DMRS DMRS 设计 附加DMRS配置 上行业务信道跳频传输的导频设计
下行参考信号——PDSCH DM-RS
zhangbin_leo的博客
05-07 9374
序列生成 序列r(n)定义如下: N.B. 在R16中,引入了对低峰均比PDSCH DM-RS的支持,使用如下的来初始化伪随机序列发生器: Mapping to physical resources NR中的PDSCH支持基于空分复用的闭环解调参考信号(closed loop Demodulation Reference Signal)。 在介绍DMRS的映射方式之前我们首先要知道在NR中,PDSCH相关的DMRS有两种类型,每种类型都有自己的映射方式;.
Delphi实现inlinehook处理ntOpenProcess源码分析
由上述分析,可以推断这个压缩包包含了一套使用 Delphi 语言编写的源代码,这套代码实现了对 Windows "ntOpenProcess" 函数的 inlinehook 处理。这暗示了该代码可能被用在系统级别的调试、安全软件开发或者系统监控...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值