JEB 显示反编译字符串的16进制编码

像上图中这种包含不可见字符的, 我们可以用下面的脚本来显示他的16进制编码, 结果是Unicode编码, 如果是单字节的, 要移除多余的0

from com.pnfsoftware.jeb.client.api import IScript
from com.pnfsoftware.jeb.core.events import JebEvent, J
from com.pnfsoftware.jeb.core.units.code import ICodeUnit, ICodeItem
from com.pnfsoftware.jeb.core.units.code.android import IDexUnit
from com.pnfsoftware.jeb.core.units.code.android.dex import IDexString
from com.pnfsoftware.jeb.core.output import ItemClassIdentifiers
import binascii

"""
Sample client script for PNF Software' JEB.
Demo of the DEX manipulation methods exposed in the 
Read More

IL 指令Opcode速查表

Opcode名称说明参数弹出(Pop)压入(Push)
00nop如果修补操作码,则填充空间。尽管可能消耗处理周期,但未执行任何有意义的操作。   
01break向公共语言结构 (CLI) 发出信号以通知调试器已撞上了一个断点。   
02ldarg.0将索引为 0 的参数加载到计算堆栈上。  *
03ldarg.1将索引为 1 的参数加载到计算堆栈上。  *
04ldarg.2将索引为 2 的参数加载到计算堆栈上。  *
05ldarg.3将索引为 3 的参数加载到计算堆栈上。  *
06ldloc.0将索引 0 处的局部变量加载到计算堆栈上。  *
07ldloc.1将索引 1 处的局部变量加载到计算堆栈上。  *
08ldloc.2将索引 2 处的局部变量加载到计算堆栈上。  *
09ldloc.3将索引 3 处的局部变量加载到计算堆栈上。  *
0Astloc.0从计算堆栈的顶部弹出当前值并将其存储到索引 0 处的局部变量列表中。 * 
0Bstloc.1
Read More

C++逆向【参数传递】

MSVC x64编译的程序, 函数参数前四个整数参数将传入寄存器,整数值在 RCX、RDX、R8 和 R9 中传递 (按顺序从左到右)。参数五和更高在堆栈上传递。所有参数是将右侧对齐在注册。因此,被调用方可以根据需要忽略寄存器中上面的位,并且只访问所需的寄存器部分。

    函数参数前四个浮点型和双精度参数传入 XMM0、XMM1、XMM2、XMM3(最大可达 4 个)中,参数五和更高在堆栈上传递,并忽略常用于该基槽的整型槽(RCX、RDX、R8 和 R9)(请参见示例),反之亦然。下面分三类情况进行分析

参数传递示例 1 – 全部都是整型参数

func1(int a, int b, int c, int d, int e);  
// a in RCX, b in RDX, c in R8, d in R9, e pushed on stack

参数传递示例 2 – 全部都是浮点型参数

func2(float 
Read More

WireShark 自定义协议解析脚本

--[[
使用方法:
将脚本放在Wireshark根目录, 并修改根目录下的init.lua
在文件尾增加
dofile(DATA_DIR.."myProto.lua")
--]]
    
do
    --[[
    创建一个自定义协议myProtocol
    第一个参数是协议名称会体现在过滤器中
    第二个参数是协议的描述信息,无关紧要
    --]]
    local myProtocol = Proto("LocaPacket", "桢数据包")
    
    --协议端口号
    local hb_port = 9930

    --将字段添加到协议中
    local proto_foo = myProtocol.fields

    --协议字段, 顺序不重要, 只是定义各个字段的显示方式
    proto_foo.magic = ProtoField.bytes("Magic", "Magic", base.SPACE)
    proto_foo.magic2 = ProtoField.string("Magic2", "Magic2")
    proto_foo.data_len = ProtoField.uint16("DATA_LEN", "DataLen", base.HEX)
    proto_foo.BaseStationId = ProtoField.uint64("BaseStationId", "BaseStationId", base.HEX)
    
Read More

WinCrypt & CryptImportKey KeyBlob分析

逆向一个程序用到了 CryptImportKey CryptEncrypt 进行加密
导入的Key数据为

BYTE key[] = {
        0x08,
        0x02,
        0x00,0x00,
        0x01,0x66,0x00,0x00,
        0x08,0x00,0x00,0x00,
        0x23,0xE2,0x55,0x17,0x92,0x68,0x53,0x32
    };
//上面的数据实际上对应的结构为
struct keyBlob
{
	BLOBHEADER hdr;
	DWORD keySize;
	BYTE bytes[8];
} blob;
typedef struct _PUBLICKEYSTRUC {
        BYTE    bType;
        BYTE    bVersion;
        WORD    reserved;
        ALG_ID  aiKeyAlg;
} BLOBHEADER, PUBLICKEYSTRUC;

根据以上结构, 从 wincrypt.h 头文件中可查得头定义实际为

BYTE key[] = 
Read More

安卓反调试笔记

USB调试模式检测
int adb = Settings.Secure.getInt(context.getContentResolver(), Settings.Secure.ADB_ENABLED, 0);

Settings.Secure.ADB_ENABLED was deprecated in API level 17. Instead, use

Settings.Global.getInt(context.getContentResolver(), Settings.Global.ADB_ENABLED, 0)  

Read More

串口通讯中的55AA

许多串口通讯中测试或握手信号使用AA或55这两个特殊的十六进制数,在许多PIC内部的EEPROM改写也使用这两个数作为敲门砖,初学者可能不解何为,其实如果将这两个数展开成二进制就可明白为什么:
AA展开为10101010, 55展开为01010101,
变成串行电平的话就是一个占空比为50%的方波,这种方波在电路中最容易被分辨是否受干扰或者畸变,在实际波形的观察中也最容易看出毛病所在,以异步串口通讯为例,通讯的每一个字节开始为一个数据位的低电平作为起始位,字节发送结束后是一个或两个数据位的高电平作为停止位,在测试程序阶段,我们可尝试发送0xAA,利用示波器来验证发送是否正确,以9600BPS的波特率计算,每个BIT的所用的时间大约是104.17μS,这里我们选择停止位占一个数据位,然后照此写一个反复连续发送AA的发送程序,那么在正确发送时在IO口看到的波形应该是一个大约4.8KHZ的方波,周期大约为208.34μS,占空比为50%。这样我们可以很快断定发送是否正确。由于这两个数值的特殊性,还被用到其他一些地方,比如PC机引导过程中,bios程序在加载完MBR后,还要对MBR的最后两个字节进行验证,必须为0x55和0xAA。

对于存储的应用:
除了55AA/AA55展开是二进制0、1间隔排列,电路好检测之外,在存储方面,用这两个数组合还有另外的道理:
Flash的存储位,只能从1变成0,所以擦除完后,单元里是1的,此时可以直接写,当写成0后,再要写成1是不行的,一定要擦除,擦除后就变成1了.
每个字节先写成55,再写成AA,这样每个bit都写了一遍又擦了一遍,说明这个字节的位置是好用的

那么AA55/55AA这样的二进制排列来作为数据Pattern,是可以测试每一个位是否可以从1变成0,也能测试是否可以从0变成1的, 如果都可以,就说明存储位没有死 … Read More

DOS 程序知识点

1. bioskey(0): 返回用户按键。

如果返回值的低 8 位非 0,该值表示按键的 ASCII 码;

如果返回值的低 8 位为 0,该值表示按键的键码。

作为替代,VC 中可以使用 getch() 返回用户按键。对于功能键(如光标键),getch() 需要调用两次,第一次返回 0 或 0xE0,第二次返回键码。

2. bioskey(1): 返回是否有按键发生。

如果没有按键,返回 0;

如果有按键,返回该按键值。(该按键仍然保留)

作为替代,VC 中可以使用 kbhit() 返回是否有按键发生。

3. bioskey(2): 返回当前控制键的状态

返回值共 16 位,分别表示:

0 右 Shift 按下
1 左 Shift 按下
2 Ctrl 按下
3 … Read More

Com逆向

HRESULT DispCallFunc(
   void       *pvInstance,
   ULONG_PTR  oVft,
   CALLCONV   cc,
   VARTYPE    vtReturn,
   UINT       cActuals,
   VARTYPE    *prgvt,
   VARIANTARG **prgpvarg,
   VARIANT    *pvargResult
);

pvInstance 指向对象的实例指针( 在C++中就是this指针了 )
oVft 是函数在对象实例虚表中的偏移
如果函数不是在一个对象的虚表中, 那么 pvInstance 是 NULL
oVft 则指向函数地址

cc 是函数的调用约定方式.
FASTCALL=0
  CDECL=1
  STDCALL=4
vtReturn 是函数返回值的类型.
cActuals 是函数参数的个数.
prgvt 指向一个数组, 每一个值是函数相应参数的类型.
prgpvarg 是一个指针,指向一个 VARIANTARG* 数组,包含了传递给函数的每个参数(类型是 … Read More