[原创] 記一次對某韓遊的反反調試-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] 記一次對某韓遊的反反調試

发表于: 2025-3-18 21:31 47763

[原创] 記一次對某韓遊的反反調試

ngiokweng

2025-3-18 21:31

47763

查看主题内容

收藏・53

免费・22

支持

最新回复 (43) ◀ 1 2
hacker521 雪币： 1449 活跃值： (2716) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 29 关注私信	hacker521 26 楼夜鸦这个游戏的反调试做的还是可以的~ 2025-3-22 17:08 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 27 楼 hacker521 夜鸦这个游戏的反调试做的还是可以的~ 是的 2025-3-22 18:44 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 28 楼大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过 2025-3-22 22:24 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 29 楼 dddsdf 大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过它那個vm研究不了一點 2025-3-23 01:48 0
hacker521 雪币： 1449 活跃值： (2716) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 29 关注私信	hacker521 30 楼 dddsdf 大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过这个google的 vm很难的~ 2025-3-23 11:56 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 31 楼这几天在看这个：e1bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0j5i4c8J5K9i4S2W2k6r3W2@1L8%4u0Q4x3X3g2Y4K9i4c8Z5N6h3u0Q4x3X3g2A6L8#2)9J5c8Y4m8S2K9i4u0A6M7r3y4G2M7X3g2Q4x3X3c8$3L8g2)9J5c8X3W2F1N6s2u0G2k6s2g2U0N6r3W2G2L8W2)9J5k6h3S2@1L8h3I4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0N6Q4z5o6c8Q4b7U0k6Q4c8e0S2Q4z5o6m8Q4z5p5y4Q4c8e0g2Q4b7e0c8Q4b7f1q4Q4c8e0S2Q4z5p5k6Q4z5f1y4Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0g2Q4z5p5g2Q4b7V1u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7V1c8Q4z5f1y4Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0k6Q4z5p5k6Q4z5e0m8Q4c8e0c8Q4b7V1g2Q4z5f1u0Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0S2Q4z5o6c8Q4z5f1q4Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2V1k6h3y4G2k6r3f1`. 2025-3-23 12:01 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 32 楼 hacker521 这个google的 vm很难的~ 先不提复原了，大佬过检测有没有思路？ 2025-3-23 12:03 0
WMBa0 雪币： 1498 活跃值： (2533) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 94 粉丝 27 关注私信	WMBa0 33 楼坐等分析FairGuard！ 2025-3-25 22:59 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 34 楼 WMBa0 坐等分析FairGuard！ 2025-3-25 23:08 0
mb_cdwvrnoo 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_cdwvrnoo 35 楼 666 2025-3-26 22:34 0
软件君子雪币： 480 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 58 粉丝 3 关注私信	软件君子 36 楼好帖子大佬有空看看网易易盾加固检测面具的逻辑检测so加密了内存dump也是加密的 2025-4-9 15:33 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 37 楼软件君子好帖子大佬有空看看网易易盾加固检测面具的逻辑检测so加密了内存dump也是加密的有空看看吧, 但肯定不會再寫某盾的文章了 2025-4-9 18:10 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 38 楼 ngiokweng woc, 才發現之前研究過這家公司的另一款遊戲jp.gungho.padHT, 記得它有一個自定義的section, 還mmap了無數層, 分析了挺久的, 但沒看明白它的檢測邏輯, 大佬帶帶[em_0 ... 他难也不难，最难得就是要会svc0hook，其他也没啥难点，都是用时间去磨，具体mmap多少模块没去数，跑通最少调用28个检测函数入口 2025-4-25 11:15 1
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 39 楼 chenshipei 他难也不难，最难得就是要会svc0hook，其他也没啥难点，都是用时间去磨，具体mmap多少模块没去数，跑通最少调用28个检测函数入口貌似mmap了13個模塊? 不清楚全不全, 目前我是把它們都dump下了, 一個一個看, 但太費時間了, 不知道佬方不方便分享下思路 2025-4-25 13:08 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 40 楼 ngiokweng 貌似mmap了13個模塊? 不清楚全不全, 目前我是把它們都dump下了, 一個一個看, 但太費時間了, 不知道佬方不方便分享下思路[em_006] 他的字符串解密的函数流程都是一样，把每个模块的字符串解密函数hook下，基本能解决80的问题了 2025-4-25 15:47 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 41 楼 chenshipei 他的字符串解密的函数流程都是一样，把每个模块的字符串解密函数hook下，基本能解决80的问题了我是這樣做的, 只發現了一些root、模擬器之類的檢測, 但好像沒發現它檢測frida的邏輯, 感覺像是crc32或者inline hook之類的檢測？ 2025-4-25 16:09 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 42 楼 ngiokweng 我是這樣做的, 只發現了一些root、模擬器之類的檢測, 但好像沒發現它檢測frida的邏輯, 感覺像是crc32或者inline hook之類的檢測？这个是应该是在classes.dex字符串那个模块检测，我没用frida,我只过了模拟器检测，别的没去看 2025-4-25 17:21 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 43 楼 chenshipei 这个是应该是在classes.dex字符串那个模块检测，我没用frida,我只过了模拟器检测，别的没去看我主要是想看它的frida檢測, 佬有空可以研究看看 2025-4-25 18:46 0
本菜很懒雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	本菜很懒 44 楼恐怖如斯 2025-4-29 00:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ngiokweng

发帖

108

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) ◀ 1 2
hacker521 雪币： 1449 活跃值： (2716) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 29 关注私信	hacker521 26 楼夜鸦这个游戏的反调试做的还是可以的~ 2025-3-22 17:08 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 27 楼 hacker521 夜鸦这个游戏的反调试做的还是可以的~ 是的 2025-3-22 18:44 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 28 楼大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过 2025-3-22 22:24 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 29 楼 dddsdf 大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过它那個vm研究不了一點 2025-3-23 01:48 0
hacker521 雪币： 1449 活跃值： (2716) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 130 粉丝 29 关注私信	hacker521 30 楼 dddsdf 大佬pairip加固的有研究么，现在官方市场都是用这个了，坛子里貌似都没人发过这个google的 vm很难的~ 2025-3-23 11:56 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 31 楼这几天在看这个：e1bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0j5i4c8J5K9i4S2W2k6r3W2@1L8%4u0Q4x3X3g2Y4K9i4c8Z5N6h3u0Q4x3X3g2A6L8#2)9J5c8Y4m8S2K9i4u0A6M7r3y4G2M7X3g2Q4x3X3c8$3L8g2)9J5c8X3W2F1N6s2u0G2k6s2g2U0N6r3W2G2L8W2)9J5k6h3S2@1L8h3I4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0N6Q4z5o6c8Q4b7U0k6Q4c8e0S2Q4z5o6m8Q4z5p5y4Q4c8e0g2Q4b7e0c8Q4b7f1q4Q4c8e0S2Q4z5p5k6Q4z5f1y4Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0g2Q4z5p5g2Q4b7V1u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7V1c8Q4z5f1y4Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0k6Q4z5p5k6Q4z5e0m8Q4c8e0c8Q4b7V1g2Q4z5f1u0Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0S2Q4z5o6c8Q4z5f1q4Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2V1k6h3y4G2k6r3f1`. 2025-3-23 12:01 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 32 楼 hacker521 这个google的 vm很难的~ 先不提复原了，大佬过检测有没有思路？ 2025-3-23 12:03 0
WMBa0 雪币： 1498 活跃值： (2533) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 94 粉丝 27 关注私信	WMBa0 33 楼坐等分析FairGuard！ 2025-3-25 22:59 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 34 楼 WMBa0 坐等分析FairGuard！ 2025-3-25 23:08 0
mb_cdwvrnoo 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_cdwvrnoo 35 楼 666 2025-3-26 22:34 0
软件君子雪币： 480 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 58 粉丝 3 关注私信	软件君子 36 楼好帖子大佬有空看看网易易盾加固检测面具的逻辑检测so加密了内存dump也是加密的 2025-4-9 15:33 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 37 楼软件君子好帖子大佬有空看看网易易盾加固检测面具的逻辑检测so加密了内存dump也是加密的有空看看吧, 但肯定不會再寫某盾的文章了 2025-4-9 18:10 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 38 楼 ngiokweng woc, 才發現之前研究過這家公司的另一款遊戲jp.gungho.padHT, 記得它有一個自定義的section, 還mmap了無數層, 分析了挺久的, 但沒看明白它的檢測邏輯, 大佬帶帶[em_0 ... 他难也不难，最难得就是要会svc0hook，其他也没啥难点，都是用时间去磨，具体mmap多少模块没去数，跑通最少调用28个检测函数入口 2025-4-25 11:15 1
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 39 楼 chenshipei 他难也不难，最难得就是要会svc0hook，其他也没啥难点，都是用时间去磨，具体mmap多少模块没去数，跑通最少调用28个检测函数入口貌似mmap了13個模塊? 不清楚全不全, 目前我是把它們都dump下了, 一個一個看, 但太費時間了, 不知道佬方不方便分享下思路 2025-4-25 13:08 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 40 楼 ngiokweng 貌似mmap了13個模塊? 不清楚全不全, 目前我是把它們都dump下了, 一個一個看, 但太費時間了, 不知道佬方不方便分享下思路[em_006] 他的字符串解密的函数流程都是一样，把每个模块的字符串解密函数hook下，基本能解决80的问题了 2025-4-25 15:47 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 41 楼 chenshipei 他的字符串解密的函数流程都是一样，把每个模块的字符串解密函数hook下，基本能解决80的问题了我是這樣做的, 只發現了一些root、模擬器之類的檢測, 但好像沒發現它檢測frida的邏輯, 感覺像是crc32或者inline hook之類的檢測？ 2025-4-25 16:09 0
chenshipei 雪币： 82 活跃值： (1343) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 40 粉丝 3 关注私信	chenshipei 42 楼 ngiokweng 我是這樣做的, 只發現了一些root、模擬器之類的檢測, 但好像沒發現它檢測frida的邏輯, 感覺像是crc32或者inline hook之類的檢測？这个是应该是在classes.dex字符串那个模块检测，我没用frida,我只过了模拟器检测，别的没去看 2025-4-25 17:21 0
ngiokweng 雪币： 2733 活跃值： (3393) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 108 粉丝 128 关注私信	ngiokweng 2 43 楼 chenshipei 这个是应该是在classes.dex字符串那个模块检测，我没用frida,我只过了模拟器检测，别的没去看我主要是想看它的frida檢測, 佬有空可以研究看看 2025-4-25 18:46 0
本菜很懒雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	本菜很懒 44 楼恐怖如斯 2025-4-29 00:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复