IDAPython 解混淆记录

原创 已于 2025-08-12 16:54:20 修改 · 1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2025-08-12 16:53:46 首次发布

IDA 9.0, Python 3.13.5, MacOS ARM64

情况1

.text:000000000008130C                 ADRL            X19, dword_10B51C
.text:0000000000081314                 LDRSW           X8, [X19]
.text:0000000000081318                 MOV             X0, X20
.text:000000000008131C                 MOV             X1, X27
.text:0000000000081320                 MOV             W2, WZR
.text:0000000000081324                 LDR             X8, [X25,X8,LSL#3]
.text:0000000000081328                 BLR             X8

Python>idc.print_operand(0x8130C , 1)
'dword_10B51C'

Python>idc.get_operand_value(0x8130C ,1)
0x10b51c

情况2

.text:000000000008167C                 ADRP            X8, #dword_10B62C@PAGE
.text:0000000000081680                 LDRSW           X8, [X8,#dword_10B62C@PAGEOFF]
.text:0000000000081684                 LDR             X0, [X24]
.text:0000000000081688                 LDR             X8, [X25,X8,LSL#3]
.text:000000000008168C                 BLR             X8

Python>idc.print_operand(0x8167C  , 1)
'#dword_10B62C@PAGE'
Python>idc.get_operand_value(0x8167C ,1)
0x10b000

Python>idc.print_operand(0x81680  , 1)
'[X8,#dword_10B62C@PAGEOFF]'
Python>idc.get_operand_value(0x81680 ,1)
0x62c

0x10b000 + 0x62c = 0x10B62C

情况3

.text:000000000008132C                 LDRSW           X8, [X19,#(dword_10B520 - 0x10B51C)]
.text:0000000000081330                 MOV             X2, X0
.text:0000000000081334                 MOV             W3, #1
.text:0000000000081338                 MOV             X0, X23
.text:000000000008133C                 LDR             X8, [X25,X8,LSL#3]
.text:0000000000081340                 MOV             X1, X20
.text:0000000000081344                 BLR             X8

Python>idc.print_operand(0x8132C , 1)
'[X19,#(dword_10B520 - 0x10B51C)]'


Python>idc.get_operand_value(0x8132C ,1)
0x4

0x10B520 - 0x10B51C = 0x4

uiop_uiop_uiop
关注
[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆反混淆 [上]
杨秀璋的专栏
04-09 822
前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲Powershell恶意代码检测,主要包括PowerShell混淆反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。
实战|某电商APP签名参数SO层逆向全流程:从抓包到Python Frida Hook,手把手踩坑记录
最新发布
专注于Python爬虫开发,分享爬虫技巧、项目实战与反爬经验,使用Scrapy、BeautifulSoup等工具,解决数据抓取难题。
10-07 1134
逆向电商APP签名校验过程摘要 通过对某电商APP的逆向分析,发现其接口签名校验逻辑隐藏在SO层(libsecure.so),采用控制流混淆增加分析难度。分析过程分为三步: 抓包定位:捕获到关键校验参数sign(32位)和x-check(64位),篡改后触发403错误; 静态分析:通过Java层native方法定位到SO层混淆函数,IDA反编译显示大量if-else和goto干扰逻辑; 动态调试:结合GDB断点调试(查看寄存器参数)和Python Frida Hook(注入JS打印调用数据),最终还原签名生
反编译与混淆
xujingqing的博客
02-15 624
1 目的:就是为了看别人的代码; apk 在bin 文件夹下; 2 步骤 2.1首先利用apktools反编译apk文件(这就能查看xml文件了)此时源码文件还不能看还需两部 2.2  开始运行中输入cmd,进入dos命令窗口 2.3  在dos窗口中输入dex2jar.bat所在盘符  2.4  执行cd命令将当前文件夹改成dex2jar.bat所在的文件夹。可以将dex2jar.b
代码混淆反混淆
m0_57836225的博客
08-22 1485
1. ProGuard(Java):主要用于 Java 代码的混淆,可以压缩、优化和混淆 Java 字节码,减小应用程序的大小并增加安全性。例如,控制流混淆可能会在静态分析时看起来非常复杂和混乱,但在运行时,程序会根据实际的条件判断和跳转指令执行相应的代码路径。2. OllyDbg:动态调试工具,可用于跟踪程序的执行过程,分析混淆代码的行为,寻找关键的代码片段和数据。3. de4dot:专门用于反混淆.NET 程序的工具,可以去除常见的混淆技术,如控制流混淆、字符串加密等。
记录一次成功反混淆脱壳及抓包激活app全过程
weixin_47367099的博客
10-26 3326
​ 近期接到一个需求,要对公司之前开发的一款app进行脱壳。因为该app是两年前开发的,源代码文件已经丢失,只有加壳后的apk文件,近期要查看其中一项功能的源代码,因此需要尝试进行脱壳处理,反编译后发现该app是使用某数字公司的加壳工具进行混淆加壳的。此外,该app是给特定平板使用的,需要激活码进行激活才能使用,而原激活码服务器已经停止运行,只能通过抓包修改激活码服务器地址进行激活。该文档记录了我成功脱壳抓包的全过程。
IDA学习笔记-代码混淆和软件保护方法
qq_20031585的博客
04-09 3941
常见的代码混淆和程序保护方法,原理和分类,可以进一步识别反编译的难度,确定逆向工程的边界和难度。
代码混淆/程序保护(对抗反汇编)原理与实践
pianogirl123的博客
12-25 1万+
所谓对抗反汇编技术,就是在程序中使用特殊构造的代码或数据,让反汇编工具产生不正确的指令。恶意代码使用该技术,可以一定程度上阻碍相似性检测算法和启发式反病毒检测。一、反汇编算法的局限性反汇编软件在拿到一堆机器码时,采用什么样的思维和算法来“断词断句”,又基于哪些假设,都会决定最终的析结果。运用不同的反汇编器,同样的字节码会被“翻译”出完全不同的指令序列。而对抗反汇编技术就是利用了反汇编器算法的天生漏
防逆向破:小程序代码混淆与反调试的攻防对抗
m0_75042480的博客
06-26 2556
最好的防御是让攻击者放弃, 最强的保护是让破成本高于收益, 终极的安全是构建生态免疫系统。
Keil反汇编技术深度分析:混淆混淆的秘密
[Keil反汇编技术深度分析:混淆混淆的秘密](https://img-blog.csdnimg.cn/aed46d37439647d0a01ff480a913454a.png) 参考资源链接:[keil对lib封装库反汇编成C语言]...
《算法还原 - CTF》逆向exe程序 + ida Pro 反汇编分析伪C代码 + python算法复现
u014643814的博客
09-10 1万+
二进制安全,能干什么逆向分析: 负责成品软件的技术原理. 比如分析竞品软件,吸取技术上的优点,进行技术难点公关病毒分析: 负责分析病毒样本.研究恶意代码的技术手段等工作.主要是在安全公司,尤其是在杀毒软件公司需求较多.如360 、腾讯电脑管家等.漏洞挖掘分析: 负责分析漏洞样本,或者漏洞的挖掘.目前二进制的主要方向.涉及范围广,从主流浏览器 虚拟机 内核到IOT 还有android 和 IOS移动平台.移动安全: 负责移动端安全.如移动端的漏洞挖掘,还有加壳混淆等安全开发: 包含较广.比如硬件平台,内核安全
利用IDA的F5来反VMP2.x的Mutation保护
Lixinist的博客
04-08 1887
先说说我对IDA的看法:我怀疑IDA公司有内鬼。 我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。 F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。 但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。 用IDA...
[原创]2024年IDA PRO 9.0(IDA Professional 9.0)的常见启动错误: ‘IdaPluginForm‘ is not defined
其实我不是代码教父,我只是猪头三
12-05 4823
在安装IDA PRO 9.0版本之后并试图启动它时, 可能会遇到一个错误信息: 'IdaPluginForm' is not defined. 这个问题的原因是IDA PRO 9.0安装包在默认情况下不会自动配置所需的Python环境, 因为不同用户的Python环境可能不同且非常复杂. 但是通过手动操作和一些必要的步骤, 你可以决这个问题并使IDA PRO 9.0正常运行.
【将你的IDAPython插件迁移到IDA 9.x:核心API变更与升级指南】
zsr154278963的博客
05-05 2394
IDAPython 插件从 IDA 9.0 之前的版本迁移到 9.x 需要对代码进行一些调整,主要是将访问数据库信息和判断窗口类型的旧 API 替换为新的 API。核心变化包括使用ida_ida模块的inf_get_*inf_is_*函数、使用模块的和BWN_*常量(注意名称可能变化,如BWN_DUMP到),以及可能需要从ida_idp模块导入平台常量。虽然迁移过程可能需要一些工作量,但更新插件可以确保它们在最新的 IDA 环境中正常运行,并能够利用 IDA 9.x 带来的新功能。祝你迁移顺利!
抖音so反混淆
signature=的博客
06-30 2551
arm架构下ollvm平坦化的反混淆app样本
记一次混淆算法逆向分析
weixin_34025151的博客
03-08 1802
ThomasKing · 2015/12/30 10:260x00 前言小弟最近整理之前的资料,偶然发现半年前的混淆对抗研究以及一道CTF练习题目,故分享以作记录。限于水平,难免会有疏漏或者错误之处,望各位读者批评指正。0x01 基本分析jeb打开文件,找到方法校验方法。逻辑很简单,校验函数既是Native函数check.#!vb public native boolean check(Strin...
IDA反编译器的使用
热门推荐
lixiangminghate的专栏
11-07 5万+
   IDA反编译器,正如IDA官网所说,虽然还原出来的代码不能直接使用,但是其参考作用不容否认。这里记录一些反编译时会用到的功能。 1.生成伪代码: view-Open subviews-Generate pesudocode (快捷键F5) -> (F5前后对比图) 2.伪代码切换到对应的反汇编代码: 前面说了,IDA生成的伪代码不可全信。当怀疑伪代码的正确性时,需要返回到反...
IDA逆向分析的方法
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
IDA反编译的几个注意和技巧
qq_36535153的博客
04-08 1万+
IDA逆向程序的经验总结关于F5汇编代码不能转成c的伪代码的几个问题总结关于一些类型转换以及指针和地址的总结最可以拿来当教训的应该是 hide cast 功能1.jmpout的问题功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必...
.net破一(反编译,反混淆-剥壳)
weixin_30823227的博客
11-21 1034
大家好,前段时间做数据分析,需要析对方数据,而数据文件是对方公司内部的生成方式,完全不知道它是怎么生成的. 不过还好能拿到客户端(正好是C#开发)所以第一件事就是用Reflector编译,但是没有想象的那么简单,看看反编译结果 代码已经混淆了,方法体内部处理也看不见,怎么办喃? 现在就来说说反混淆(剥壳)那些事 目前比较常用的混淆(加壳)有Dotfuscator,MaxTo...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值