[已解决]脱360壳在raise函数这跑飞-Android安全-看雪-安全社区|安全招聘|kanxue.com

[已解决]脱360壳在raise函数这跑飞

发表于: 2017-7-13 18:07 4783

[已解决]脱360壳在raise函数这跑飞

悠梦

2017-7-13 18:07

4783

新手最近在看360的脱壳，结果试了两三个app的壳都死在了同一个地方，想请教大家这里是不是也是个反调试的点和解决的思路。。谢谢。。

测试app：cc2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4K9V1V1&6L8p5#2H3y4l9`.`.

--------------------------------------------------------------------------

别人文章看啊看，加上自己试阿试，最后发现这个反调试点应该是自己进行调试下了断点，导致rtld_db_dlactivity函数不为空。然后程序检测到这个异常，调用raise函数传递信号把程序给毙了。

（唉新手上路不容易啊，过反调都要花了快一周了。。开始战战兢兢的去学习怎么脱....）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (20)
bjhrwzh 雪币： 4687 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 146 粉丝 1 关注私信	bjhrwzh 2 楼 raist 这已经过了反调试点了，进入退出函数了。往回再跟跟，论坛有过反调试的，自己查查 2017-7-13 18:09 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 3 楼是不是有个很大的switch，在里面单步跟都跟晕了。。。 2017-7-13 18:57 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 4 楼你居然有ubuntu版的ida！给我来一发吧！ 2017-7-13 19:48 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 5 楼你居然有ubuntu版的ida！给我来一发吧！ 2017-7-13 21:32 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 6 楼 bjhrwzh raist 这已经过了反调试点了，进入退出函数了。往回再跟跟，论坛有过反调试的，自己查查过头了么。。那我再看看 2017-7-14 10:36 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 7 楼 vincent汪是不是有个很大的switch，在里面单步跟都跟晕了。。。 = =是的，，，， 2017-7-14 10:37 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 8 楼 phyman 你居然有ubuntu版的ida！给我来一发吧！ - -vmware里开的ida，不是linux版的 2017-7-14 10:38 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 9 楼我是在jni_onload里面的有个函数_Z9__arm_a_1P7_JavaVMP7_JNIEnvPvRi，那个大的switch..case也在这里面，然后把这个nop掉后，jdb附加调速器的那个就会报错，软件也黑了。。。用zjdroid脱壳的话，脱出来的Dex文件又没有主activity，。。。 2017-7-14 11:42 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 10 楼我单步跟的时候怎么感觉一直在switch里面转。。。。 2017-7-14 11:55 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 11 楼 vincent汪我单步跟的时候怎么感觉一直在switch里面转。。。。心情复杂。。。我也在里面转 2017-7-17 11:08 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 12 楼 vincent汪我单步跟的时候怎么感觉一直在switch里面转。。。。 690K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8Y4c8Z5M7X3g2S2k6q4)9J5k6o6f1&6y4e0V1$3x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8q4)9J5y4X3&6T1M7%4m8Q4x3@1t1`. app来源是这里。。你可以瞅瞅 2017-7-17 11:24 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 13 楼悠梦 323K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8Y4c8Z5M7X3g2S2k6q4)9J5k6o6f1&6y4e0V1$3x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. app来源是这里。。你可以瞅瞅好的 2017-7-17 23:05 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 14 楼反调好过，没有几个反调，改分析dump dex的位置和oncreate恢复了 2017-7-20 10:44 0
葫芦娃雪币： 914 活跃值： (3554) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 171 粉丝 345 关注私信	葫芦娃 1 15 楼在两个有BLX LR的case下断，第一次是时间检测，跳过去有变量存储，下次time()过后直接改r0。然后是linker、TracePid、tcp等，反正下断之后看看LR是哪还是挺清楚的。不然就直接改PC不让跳过去就好了。最后另一个BLX LR 跳进解密后的so（debug段），然后你就可以愉快的研究脱壳了 2017-7-20 11:58 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 16 楼 phyman 反调好过，没有几个反调，改分析dump dex的位置和oncreate恢复了 - -像我这样一开始就没玩过的，一点也没觉得好过。。唉，花了那么多时间终于可以进入dump和恢复这个主题了。 2017-7-21 10:05 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 17 楼 Hoimk 在两个有BLX LR的case下断，第一次是时间检测，跳过去有变量存储，下次time()过后直接改r0。然后是linker、TracePid、tcp等，反正下断之后看看LR是哪还是挺清楚的。不然就 ... 开始跳入下一个坑。。 2017-7-21 10:07 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 18 楼悠梦 - -像我这样一开始就没玩过的，一点也没觉得好过。。唉，花了那么多时间终于可以进入dump和恢复这个主题了。[em_56] 分析第二个BLX LR才是大活儿，前边的反调都是开胃 2017-7-21 10:23 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 19 楼 phyman 分析第二个BLX LR才是大活儿，前边的反调都是开胃瑟瑟发抖。。正在寻找下手的文章，有没有推荐啊好心人 2017-7-21 10:31 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 20 楼悠梦瑟瑟发抖。。正在寻找下手的文章，有没有推荐啊好心人[em_2] 自己跟吧，我刚找到解密dex的函数了，哪儿有那么多的文章，都是别人玩儿剩下的才会发出来 2017-7-21 12:01 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 21 楼 phyman 自己跟吧，我刚找到解密dex的函数了，哪儿有那么多的文章，都是别人玩儿剩下的才会发出来有理 2017-7-21 18:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

悠梦

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
bjhrwzh 雪币： 4687 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 146 粉丝 1 关注私信	bjhrwzh 2 楼 raist 这已经过了反调试点了，进入退出函数了。往回再跟跟，论坛有过反调试的，自己查查 2017-7-13 18:09 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 3 楼是不是有个很大的switch，在里面单步跟都跟晕了。。。 2017-7-13 18:57 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 4 楼你居然有ubuntu版的ida！给我来一发吧！ 2017-7-13 19:48 0
王小东雪币： 237 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	王小东 5 楼你居然有ubuntu版的ida！给我来一发吧！ 2017-7-13 21:32 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 6 楼 bjhrwzh raist 这已经过了反调试点了，进入退出函数了。往回再跟跟，论坛有过反调试的，自己查查过头了么。。那我再看看 2017-7-14 10:36 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 7 楼 vincent汪是不是有个很大的switch，在里面单步跟都跟晕了。。。 = =是的，，，， 2017-7-14 10:37 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 8 楼 phyman 你居然有ubuntu版的ida！给我来一发吧！ - -vmware里开的ida，不是linux版的 2017-7-14 10:38 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 9 楼我是在jni_onload里面的有个函数_Z9__arm_a_1P7_JavaVMP7_JNIEnvPvRi，那个大的switch..case也在这里面，然后把这个nop掉后，jdb附加调速器的那个就会报错，软件也黑了。。。用zjdroid脱壳的话，脱出来的Dex文件又没有主activity，。。。 2017-7-14 11:42 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 10 楼我单步跟的时候怎么感觉一直在switch里面转。。。。 2017-7-14 11:55 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 11 楼 vincent汪我单步跟的时候怎么感觉一直在switch里面转。。。。心情复杂。。。我也在里面转 2017-7-17 11:08 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 12 楼 vincent汪我单步跟的时候怎么感觉一直在switch里面转。。。。 690K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8Y4c8Z5M7X3g2S2k6q4)9J5k6o6f1&6y4e0V1$3x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8q4)9J5y4X3&6T1M7%4m8Q4x3@1t1`. app来源是这里。。你可以瞅瞅 2017-7-17 11:24 0
vincent汪雪币： 130 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 87 粉丝 0 关注私信	vincent汪 13 楼悠梦 323K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8Y4c8Z5M7X3g2S2k6q4)9J5k6o6f1&6y4e0V1$3x3q4)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. app来源是这里。。你可以瞅瞅好的 2017-7-17 23:05 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 14 楼反调好过，没有几个反调，改分析dump dex的位置和oncreate恢复了 2017-7-20 10:44 0
葫芦娃雪币： 914 活跃值： (3554) 能力值： ( LV8，RANK：120 ) 在线值：发帖 10 回帖 171 粉丝 345 关注私信	葫芦娃 1 15 楼在两个有BLX LR的case下断，第一次是时间检测，跳过去有变量存储，下次time()过后直接改r0。然后是linker、TracePid、tcp等，反正下断之后看看LR是哪还是挺清楚的。不然就直接改PC不让跳过去就好了。最后另一个BLX LR 跳进解密后的so（debug段），然后你就可以愉快的研究脱壳了 2017-7-20 11:58 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 16 楼 phyman 反调好过，没有几个反调，改分析dump dex的位置和oncreate恢复了 - -像我这样一开始就没玩过的，一点也没觉得好过。。唉，花了那么多时间终于可以进入dump和恢复这个主题了。 2017-7-21 10:05 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 17 楼 Hoimk 在两个有BLX LR的case下断，第一次是时间检测，跳过去有变量存储，下次time()过后直接改r0。然后是linker、TracePid、tcp等，反正下断之后看看LR是哪还是挺清楚的。不然就 ... 开始跳入下一个坑。。 2017-7-21 10:07 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 18 楼悠梦 - -像我这样一开始就没玩过的，一点也没觉得好过。。唉，花了那么多时间终于可以进入dump和恢复这个主题了。[em_56] 分析第二个BLX LR才是大活儿，前边的反调都是开胃 2017-7-21 10:23 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 19 楼 phyman 分析第二个BLX LR才是大活儿，前边的反调都是开胃瑟瑟发抖。。正在寻找下手的文章，有没有推荐啊好心人 2017-7-21 10:31 0
phyman 雪币： 143 活跃值： (879) 能力值： ( LV9，RANK：190 ) 在线值：发帖 15 回帖 61 粉丝 7 关注私信	phyman 20 楼悠梦瑟瑟发抖。。正在寻找下手的文章，有没有推荐啊好心人[em_2] 自己跟吧，我刚找到解密dex的函数了，哪儿有那么多的文章，都是别人玩儿剩下的才会发出来 2017-7-21 12:01 0
悠梦雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	悠梦 21 楼 phyman 自己跟吧，我刚找到解密dex的函数了，哪儿有那么多的文章，都是别人玩儿剩下的才会发出来有理 2017-7-21 18:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复