最近搞了一个还原Armariris字符串混淆的ida插件,不知道大佬们有没有兴趣

原理很简单,Armariris会加一些带有datadiv_decode的函数,在可执行文件或者动态库初始化的时候就会执行,将字符串还原。脚本使用unicorn engin去调用这些函数,将执行后的数据使用ida patch上去(脚本链接:https://github.com/smartdone/re_scripts/blob/master/ida/Armariris_string_obfuscation_bypass.py)。效果如下:
还原前:

1.png

还原后

2.png

3 Likes

有兴趣啊,很有用啊

有兴趣啊,很有用啊

完了,抖音安全编译器安卓版的团队又要换一个实现抄了

1 Like

其实我想换个我自己编译的例子,但是就只有几个字符串,效果不震撼

大佬的问题,只有膜的份,参与不了