小骚 发表于 2020-12-3 09:28

瞎琢磨的dcc+ollvm(网络校验)

之前那个简单的
这回复杂一点了
成功条件:在联网的情况下,修改主页面textview,并通过各种校验回到主页面截图


提示1:主要是校验了classes和so的crc值,日志过滤"checkcrc"即可看到当前的crc值
提示2:有字符串加密 xor算法,key是"xihan"




别来什么"感谢分享","这个不错","这个可以有","不懂"之类的







下载地址:https://xihan.lanzoui.com/iShkdix3gaf

fxb960704 发表于 2020-12-3 10:16

...........

小骚 发表于 2020-12-3 11:22

fxb960704 发表于 2020-12-3 10:16
...........

如果是hook的那就没意思了

fxb960704 发表于 2020-12-3 11:39

小骚 发表于 2020-12-3 11:22
如果是hook的那就没意思了

是用的hook,也满足你的完成条件。不能防hook就说明保护还是不到位。木桶效应,在实际的攻防环节,没有攻击者会循规蹈矩按你的防御路线攻击。话说回来,直接刚你的校验也只是时间问题罢了,我只是不愿意浪费这个时间。下次你可以设计反hook的。

小骚 发表于 2020-12-3 11:42

本帖最后由 小骚 于 2020-12-3 11:46 编辑

fxb960704 发表于 2020-12-3 11:39
是用的hook,也满足你的完成条件。不能防hook就说明保护还是不到位。木桶效应,在实际的攻防环节,没有攻 ...
这种简单的,定位不一样。我根本没有想到还有用hook框架的你知道吗

fxb960704 发表于 2020-12-3 11:52

小骚 发表于 2020-12-3 11:42
我根本没有想到玩cm还有用hook框架的你知道吗

不管是用hook,还是网络拦截封包去篡改你的网络校验,都是攻击你保护的另类手段。只能说明你了解的太少罢了,还有就是CM加ollvm vmp这种纯粹为了恶心人而恶心人的,一直也是我摒弃的。虽然在实际的病毒分析、外挂分析中都是这玩意,要是按他的防御路线分析,是要浪费很长时间的。最后总结就是,用ollvm、vmp已经是你不仁,所以用一些奇葩的手段玩个cm,也别怪我不义咯。

芽衣 发表于 2020-12-3 12:03

fxb960704 发表于 2020-12-3 11:52
不管是用hook,还是网络拦截封包去篡改你的网络校验,都是攻击你保护的另类手段。只能说明你了解的太少罢 ...

:lol :lol :lol :lol :lol

没有什么是hook不能解决的

ttimasdf 发表于 2020-12-4 16:19

fxb960704 发表于 2020-12-3 11:52
不管是用hook,还是网络拦截封包去篡改你的网络校验,都是攻击你保护的另类手段。只能说明你了解的太少罢 ...

分不同的场景吧。如果是日常工作中,以解决问题为导向,那当然是需要以短板为切入点,hook目的达到了拉倒。但如果是做CM,以技术研究为导向,那就要思考这种防御技术能不能研究出对应的攻击技术。说不定 OLLVM 在某些场景下就是脆弱点了呢?在真实环境中绕不过去了怎么解决呢?这是技术研究的一个意义。
而且这两天我看到了至少三种过OLLVM的方法,又不是完全不能过。网络验证也好解决。

fxb960704 发表于 2020-12-4 17:52

ttimasdf 发表于 2020-12-4 16:19
分不同的场景吧。如果是日常工作中,以解决问题为导向,那当然是需要以短板为切入点,hook目的达到了拉倒 ...

从来就没说OLLVM,VMP不能过,我这边有IDA 一键反混淆常规OLLVM也要告诉你吗?只是时间成本问题,在这个场景下,我破个CM赚一个吾爱币,我觉得很划不来。

fxb960704 发表于 2020-12-4 18:33

ttimasdf 发表于 2020-12-4 16:19
分不同的场景吧。如果是日常工作中,以解决问题为导向,那当然是需要以短板为切入点,hook目的达到了拉倒 ...

我早在两年前就开始着手ollvm反混淆研究了,最新的研究成果是基于IDA中间体语言的。一键秒常规ollvm混淆,至于定制版也需要专门对抗,附上大半年前录的一个演示视频:https://www.bilibili.com/video/BV1SX4y1M7D3/
页: [1]
查看完整版本: 瞎琢磨的dcc+ollvm(网络校验)