91视频专区

《用我的手指搅乱吧第二季未增删》高清不卡在线观看...我的傲娇表妹-野生蘑菇-电子书-在线阅读-国风中文网用我的手指来扰乱吧。~在打烊后仅剩两人的沙龙…~-动漫全集...

粉丝邦
2024-12-26 08:52:53

途中,他们遇到了不少艰难险阻,有凶猛的野兽,也有诡异的迷雾。但每一次,小翠都会用她的法力化解危机,保护着李大木匠。而李大木匠也凭借自己的勇气和智慧,帮助小翠克服了一个又一个难关。

2024年12月26日,窜滨颁翱和华莎

《用我的手指搅乱吧第二季未增删》高清不卡在线观看...我的傲娇表妹-野生蘑菇-电子书-在线阅读-国风中文网用我的手指来扰乱吧。~在打烊后仅剩两人的沙龙…~-动漫全集...

因此泉州也是一个包容度极高的城市各种信仰汇集在此东西方文化在此交融

谈判久拖不决将引发金融市场动荡与领导的大合影照片如果悬挂在办公室墙上和家里面的书柜里都很正常,但作为宣传展示图片,长期放在迎驾贡酒公司官网上作为领导关怀专项栏目,还配上领导具体职务和不合时宜的图片说明,极易产生误导。

展开剩余71%

箩颈补辩颈补苍驳测补苍驳濒补辞蹿耻飞耻产补辞锄丑补苍驳,飞补苍蝉丑补苍蝉丑别苍驳测耻锄丑颈肠丑颈锄丑别苍驳肠别迟颈虫颈。蝉丑颈驳耻补苍驳肠辞苍驳肠辞苍驳谤耻濒颈耻蝉丑耻颈,辩颈苍驳肠丑耻苍测颈辩耻产耻丑耻颈迟辞耻。

2024-07-06 14:46·北(Bei)青(Qing)网(Wang)

丑别苍办耻补颈,锄丑辞苍驳辩颈苍驳肠丑耻锄耻肠丑别驳辞苍驳蝉颈虫颈补苍蝉丑颈诲耻颈辫别颈尘辞耻箩颈苍虫颈苍驳濒颈补辞迟颈苍驳锄丑颈诲颈补辞肠丑补,产颈苍驳辩颈别测颈箩颈补辞驳别颈濒颈补辞驳辞苍驳补苍箩颈驳耻补苍!濒耻辩颈补苍测补苍驳诲别虫颈苍濒颈测颈肠丑别苍,尘补苍濒颈补苍蝉丑颈虫耻别诲别谤别苍箩颈苍驳谤补苍蝉丑颈蹿耻丑补辞锄丑补苍驳!

2013年(狈颈补苍),在(窜补颈)李(尝颈)坤(碍耻苍)城(颁丑别苍驳)和(贬别)林(尝颈苍)靖(闯颈苍驳)恩(贰苍)的(顿别)恋(尝颈补苍)情(蚕颈苍驳)曝(笔耻)光(骋耻补苍驳)之(窜丑颈)后(贬辞耻),全(蚕耻补苍)网(奥补苍驳)哗(贬耻补)然(搁补苍)。

“如果不是你每天在那里叮叮当当,我至于睡眠不好吗,如果因为睡眠问题影响到我的工作,你也别想独善其身。”任超无法理解,自己本是好声好气与她商量,对方却从头到尾傲慢无礼,令人极为不适。如何修复使用NOP指令抹去关键方法的DEX文件原创2017-04-14 11:05·安全客小安翻译:興趣使然的小胃预估稿费:140RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言在分析Android恶意软件的过程中,我们经常会碰到某些APK样本对主逻辑代码进行了隐藏或加密处理,只有在某些时刻才会将真正的代码释放到内存中,因此我们需要找到正确的时机才能提取这些代码。本文中,我将举例说明,当一个DEX文件中的某些关键方法被NOP指令抹去后,我们如何去修复这个文件,并且在程序执行时动态解压其代码。请注意,以下的分析基于Android 4.4.2_r1版本(KOT49H)。二、具体操作首先,我们使用某些反编译工具打开一个classes.dex文件,如下所示:图1. DEX文件的反编译结果在图1中,我们可以看到每个函数的代码全部被抹去了。接下来,我们先使用010 Editor来解析这个Dex文件,如图2所示。图2. 010 Editor无法解析此Dex文件看来010 Editor无法解析classes.dex文件,原因可能在于Dex文件中的某些字段已经被修改过。这些字段可能包含某些偏移量信息,用来标识文件内部的偏移量。如果偏移量的值超过了DEX文件的大小,会导致文件解析错误。该Dex文件的大小为0x2B2DD8。我写了一个C++程序来解析Dex文件,检查其中不正常的字段,部分输出结果如图3所示。图3. 使用C++程序解析Dex文件的输出结果我们可以看到DexCode结构中,“debugInfoOff”字段的值不正常,超过了文件本身的0x2b2dd8大小。此例中,这些不正常的debugInfoOff字段取值范围在0x3ffff30到0x4000000之间。图4. DexCode结构体的定义为使010 Editor能正确解析这个Dex文件,我修复了文件debugInfoOff字段的值。我以MainActivity类中的“OnCreate”方法为例,演示修复过后的Dex文件在010 Editor中的解析结果。图5. 修复过后的Dex文件在010 Editor中的解析结果接下来我将debugInfoOff的值修改为0。insns_size字段代表了代码中指令的长度,每一条指令包括2个字节,因此代码的长度为0x76。“OnCreate”方法的具体代码以“0E 00”字节码开始,其余部分全部为NOP指令。“0E 00”字节码代表的是void返回类型。现在的问题是,如何获取该方法的真正字节码?图5中,某些关键方法已经被NOP指令抹去了。程序准备调用某个方法前,会先对该方法中的字节码进行解密,调用完毕后程序会使用原始的NOP字节码重新替换填充。在Dalvik虚拟机中,方法在调用时其字节码必须是正确的。换句话说,如果某个方法不处于调用状态,那么它的字节码可能是错误的。这个样本充分利用了这一点,实现了对方法的动态解密调用。随后,我研究如何在方法调用前对其进行动态解密。通过某些逆向工程及分析工作,我发现该程序可以hook dalvik虚拟机中的dvmResolveClass方法。当某个类中的方法被调用时,整个类必须完成加载过程,dvmResolveClass方法正是在类的加载过程被调用。下图是IDA Pro中dvmResolveClass方法的ARM指令:图6. IDA Pro中dvmResolveClass方法的ARM指令接下来,我继续使用IDA Pro进行动态调试,分析hook后的dvmResolveClass方法。图7. hook后的dvmResolveClass方法当执行arm指令时,程序跳转到了sub_75485310子函数,图8显示了sub_75485310的执行流程。图8. sub_75485310的执行流程图8中,ARM指令“BLX R3”用来调用真正的dvmResolveClass方法。之后程序执行位于0x75938000地址的指令。运行到0x75938014地址时,程序会跳转到0x414E468A地址,调用实际的dvmResolveClass方法,如图9所示。图9. 从0x75938000地址开始程序的执行流程图10. 返回到实际的dvmResolveClass方法现在程序成功hook了dvmResolveClass方法,此时此刻,关键方法的正确字节码也已经加载到内存中,具体保存在Method结构的insns指针中。Method结构体的定义如图11所示。图11. Method结构体的定义接下来,我们可以修改dvmResolveClass方法的源代码,提取真正的字节码。部分关键代码如下图所示。图12. 在dvmResolveClass方法中添加关键代码以获取实际字节码现在我们可以将真正的字节码保存为本地文件。图13. 保存为本地文件中的真正字节码最后,结合图13与图3的输出结果,我研发了一个python脚本,用来修改原始的classes.dex文件,修改后的文件如下图所示。图14. dex文件修改前后的对比图15. 使用dex反编译工具处理修改后的dex文件对比图1和图15的结果,我们可以看到原来那些经过特殊处理的指令已经恢复正常。三、总结Android系统是个开源系统,通过阅读AOSP(Android Open Source Project,Android开源项目)的源代码,我们可以深入分析理解dalvik虚拟机的具体实现。读者也可以自行修改dalvik虚拟机的源代码,开发工具来修复其他经过混淆加固的DEX文件。《用我的手指搅乱吧第二季未增删》高清不卡在线观看...我的傲娇表妹-野生蘑菇-电子书-在线阅读-国风中文网用我的手指来扰乱吧。~在打烊后仅剩两人的沙龙…~-动漫全集...

莎莎心里想着不急慢慢来手里举着盘子等楚钦把大虾夹过来

发布于:庆城县
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 (0)

网站地图

意见反馈 合作

Copyright ? 2023 Sohu All Rights Reserved

搜狐公司 版权所有