返回列表 发新帖

控制流混淆-简单分析MT应用加固样本

  [复制链接]

20

主题

208

帖子

1359

积分

高中生

Rank: 4

金币
284
好评
12
贡献
0
发表于 2020-6-26 14:27:04 来自手机  | 显示全部楼层 | 阅读模式
市场上出现很多控制流混淆,扁平化控制流不是很多
导致反编译分析增加难度,但是熟悉samli语法的可以花时间上的清除虚假控制流混淆。
有于时间关系,我拿mt官方的加固样本分析。
截屏看到的???字符是电脑编码无法识别的
下面说到的某某某方法调用那些方法,这些在其他app的位置都不一样,都有变动。
未混淆

已混淆


控制流混淆大概实现
for(....){
   switch(..){
      default:

      case ...:

      case ...:

      .......
   }
}

分析了无法直视的字符串,开始以为这些字符串是加密后得到的字符串加密的值,后来才知道是switch用来判断的int值。
R$layout.???("???") 此方法是拿字符串获取hashCode值,获取的int 给switch用来判断,其中含有走没用的case。来达到控制流混淆,部分无法翻译到java,下log也很麻烦        。
关于真正的字符串去了什么地方?

放在了short数组变量中
short[] v0
解密过程,调用了R$layout.???方法,返回解密字符串
参数1:加密处理后的字符串short数组,也就是v0 ,参数2,取出始位置int(从什么位置取),参数3,取多大int(可以理解为取多少个short),参数4,异或运算值(可理解整数型简单计算加解密)。解密字符串(请输入:123456)传参数值为 v0,10,10,63013,返回解密后的(请输入:123456)字符串,
static public String R$layout.???(short[] p0,int p1,int p2,int p3)//字符串解密方法
{
     char[] v1 = new char[p2];
     int v0 = 0;
     while ((v0 < p2)) {       
         v1[v0]=(char)(p0[(p1+v0)]^p3);
         v0++;
     }       
     return v1;
}

关于调用系统方法,例如Toast弹窗,完全被重新创建自定义方法,需要去调用,不在原来的MainActivity类下了。不得不称赞Bin能做出这样厉害的混淆,市场出现扁平化控制流应该是使用了MT应用加固,可是总感觉放多,是不是MT管理器,就没法玩了。话不能这样说,你不做出来这种东西,各种加固平台也会做出来,一句话(没有解密和来加密),上面说的不对地方可以指正。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
已有1人评分好评 金币 理由
佛说我很笨 + 1 + 1 你才是真正的大佬!

查看全部评分 总评分:好评 +1  金币 +1 

回复

使用道具 举报

30

主题

1397

帖子

7041

积分

硕士生

Rank: 6Rank: 6

金币
1828
好评
13
贡献
0
发表于 2020-6-26 14:30:42 来自手机  | 显示全部楼层
感谢分享!
回复

使用道具 举报

50

主题

663

帖子

3723

积分

大学生

Rank: 5Rank: 5

金币
615
好评
13
贡献
0
发表于 2020-6-26 14:32:04 来自手机  | 显示全部楼层
学习一下
回复

使用道具 举报

74

主题

2913

帖子

1万

积分

版主

论坛萌新

Rank: 7Rank: 7Rank: 7

金币
3329
好评
170
贡献
1

考神MT论坛帅哥MT论坛活跃会员MT论坛最佳新人MT论坛侠客

QQ
发表于 2020-6-26 14:33:07 来自手机  | 显示全部楼层
字符串加密?
回复

使用道具 举报

32

主题

909

帖子

2423

积分

大学生

.̙̗̗̙̙̗

Rank: 5Rank: 5

金币
240
好评
2
贡献
0

考神MT论坛帅哥

QQ
发表于 2020-6-26 14:34:16 来自手机  | 显示全部楼层
本帖最后由 老乞丐. 于 2020-6-26 14:36 编辑

大佬6啊
善恶到头终有报,天地之间有公道
回复

使用道具 举报

20

主题

208

帖子

1359

积分

高中生

Rank: 4

金币
284
好评
12
贡献
0
发表于 2020-6-26 14:34:55 来自手机  | 显示全部楼层
快乐小牛 发表于 2020-6-26 14:33
字符串加密?

没明白你说的什么意思
回复

使用道具 举报

31

主题

2659

帖子

6424

积分

硕士生

Rank: 6Rank: 6

金币
1414
好评
24
贡献
0

考神MT论坛最佳新人MT论坛帅哥

QQ
发表于 2020-6-26 14:35:26 来自手机  | 显示全部楼层
回复

使用道具 举报

2

主题

3855

帖子

2万

积分

博士后

萌新

Rank: 8Rank: 8

金币
3019
好评
41
贡献
0

考神MT论坛最佳新人MT论坛帅哥

发表于 2020-6-26 14:38:29 来自手机  | 显示全部楼层
感谢分享
回复

使用道具 举报

0

主题

2429

帖子

8208

积分

硕士生

Ծ‸Ծ

Rank: 6Rank: 6

金币
870
好评
17
贡献
0

考神MT论坛最佳新人

发表于 2020-6-26 14:39:18 来自手机  | 显示全部楼层
看         
回复

使用道具 举报

13

主题

1053

帖子

3187

积分

大学生

Rank: 5Rank: 5

金币
843
好评
2
贡献
0
发表于 2020-6-26 14:39:31 | 显示全部楼层
谢谢分享
回复

使用道具 举报

216

主题

3724

帖子

1万

积分

博士生

久情哥哥

Rank: 7Rank: 7Rank: 7

金币
4018
好评
254
贡献
0

考神MT论坛帅哥MT论坛最佳新人MT论坛活跃会员MT论坛侠客MT论坛灌水老大

QQ
发表于 2020-6-26 14:41:47 来自手机  | 显示全部楼层
回复

使用道具 举报

31

主题

5358

帖子

1万

积分

博士生

Rank: 7Rank: 7Rank: 7

金币
5587
好评
1
贡献
0
发表于 2020-6-26 14:44:36 来自手机  | 显示全部楼层
回复

使用道具 举报

1

主题

951

帖子

3304

积分

大学生

Rank: 5Rank: 5

金币
524
好评
2
贡献
1

考神MT论坛帅哥

QQ
发表于 2020-6-26 14:49:06 来自手机  | 显示全部楼层
谢??????
回复

使用道具 举报

6

主题

862

帖子

3232

积分

大学生

小小白

Rank: 5Rank: 5

金币
882
好评
6
贡献
1

考神MT论坛帅哥MT论坛最佳新人MT论坛活跃会员

发表于 2020-6-26 14:51:48 来自手机  | 显示全部楼层
回复

使用道具 举报

22

主题

1953

帖子

6516

积分

硕士生

Rank: 6Rank: 6

金币
1853
好评
15
贡献
0

考神MT论坛最佳新人MT论坛帅哥MT论坛活跃会员

发表于 2020-6-26 14:52:16 来自手机  | 显示全部楼层
我来看看
回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表