a545958498的博客

再次查看函数 sub_2BD4 的汇编指令，发现函数头部 SP, SP, #0x520 申请的栈空间特别大，函数内部只需要很小的栈空间，然后参数5中传入 sp+0x510，栈中的一个地址，所以参数5指向的栈地址，应该是虚拟机的内存和context所需的内存大小，在函数sub_2BD4栈中分配，但是并没有初始化操作，只是将这个栈内存指针传递到了 sub_2D28 这个虚拟机函数，那么在虚拟机函数中一定会做初始化。= Xn时，[X19,#-0x20] = 1，且 [X19,#-0x18] = PC + 8。

后20字节 0x06292b2e51bf21d8e270474e655a4379e5d3f7f6，指令地址 0x804e8。都是同一个地址，应该是在做加密运算。参数签名函数调用序列 0x88ee0 -> 0x87e48 -> 0x86d60 -> 0x6B14c。第5和6字节 0x0000，指令地址0x13742c，初始化buffer为0后没有再写入。进一步跟踪，查看地址 0xbfffda60 + 0x12 ，在哪里被写入 0x3d。第1个字节 0x84，指令地址 0x81138，直接写入无需计算。

【代码】get_seed协议。

额，这个好像不用分析。

【代码】X-Argus算法分析。

【代码】X-Ladon算法分析。

1） 生成一个长 0x100 即 256 的表，初始时分别赋值为 0 - 255。循环执行下面操作，用于初始化表。md5(url_param) -> 4字节。2字节 random + 0000(可用)md5(body) -> 4字节。返回 -> X-Gorgon。固定头部 0x8404。

【代码】图灵顿 SDK协议加解密。

【代码】图灵顿 SDK协议序列化和反序列化。

使用了ecdh算法，非标准椭圆曲线参数。分析过程懒得写了，直接上demo。

从当前指令 + 0xC处，取地址保存到 X0，根据前面的分析，这是HOOk方法的 ArtMethod结构体指针，接着取出 ArtMethod + 0x20处的值，这个值正是HOOk方法的ArtMethod对应的 entrypoint。这个函数先使用 BuildDex 接口动态生成HOOK类和方法，然后创建ClassLoader加载这个DEX，详情可以分析 BuildDex 内部，会创建 LSPHooker_ 类名和hook的方法名。上述根据不同平台生成了不同的跳板指令。

var/mobile/Containers/Data/Application/47E75209-64AF-4F43-AE14-204D57BDF53C/Documents（APP文档目录）Stat信息中的时间信息只有越狱状态下才能获取，即越狱设备可以根据stat时间信息计算设备ID。/usr/lib/CepheiUI.framework/CepheiUI（非法模块）3、同一个设备 HOOK stat函数，篡改函数的返回值，设备ID不同。1、同一个设备清空keychain和app缓存前后，设备ID相同。

文件路径、stat文件节点信息，__system_property_get系统属性、硬件信息、路由和网络信息等。stat lstat __system_property_get open 等。

简单描述了下，等有时间了再把每个点的原理和细节详细整理。这里不包括 PC客户端。

Tiktok版本： 33.2.5 （24年1月25日） 通过对Tiktok抓包发现TikTok的所有http请求的头部增加了参数签名（x-argus、x-goron、x-khronos、x-ladon）：直接将apk文件用jadx工具反编译，搜索关键字x-argus等，未搜索到任何关键字：使用frida hook java层 Header对象的构造方法，发现有监控到https请求头设置，但是始终没有发现签名字段接着尝试hook interceptor拦截器，打印出请求头部，结果输出的请求头部中还

测试代码中 my_fopen直接调用了原始的fopen，此时调用的原始fopen和系统的原始fopen起始地址肯定不一样，因为前四条指令已经被patch，要成功调用，一定得执行原始的前四条指令。从汇编代码中可以看到， blr x8调用了原始的fopen函数，x0和x1保存了fopen需要的两个参数。可以看到，该地址即为自定义的my_fopen函数的起始地址。该地址即为系统原始的fopen地址开始处的第五条指令，到此即可以正常完成原始fopen函数的调用。