原理很简单,Armariris会加一些带有datadiv_decode的函数,在可执行文件或者动态库初始化的时候就会执行,将字符串还原。脚本使用unicorn engin去调用这些函数,将执行后的数据使用ida patch上去(脚本链接:https://github.com/smartdone/re_scripts/blob/master/ida/Armariris_string_obfuscation_bypass.py)。效果如下:
还原前:
还原后
2.png
3 个赞
有兴趣啊,很有用啊
有兴趣啊,很有用啊
完了,抖音安全编译器安卓版的团队又要换一个实现抄了
1 个赞
其实我想换个我自己编译的例子,但是就只有几个字符串,效果不震撼
大佬的问题,只有膜的份,参与不了