2025腾讯游戏安全竞赛Andorid决赛
2025腾讯游戏安全竞赛Andorid决赛准备工作需求 效果 寻找Gname 0xADF07C0 寻找Gworld通过Seamless定位 0xAFAC398 寻找GObject 0xAE34A98 SDKdump1234./ue4dumper64 --strings --newue+ --gname 0xADF07C0 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xADF07C0 --guobj 0xAE34A98 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --sdku --newue+ --gname 0xADF07C0 --guobj 0xAE34A98 --package com.ACE2025.Game --output /data/local/tmp --verbose./ue4dumper64 --sdkw --newue+...
2023腾讯游戏安全竞赛Andorid初赛
2023腾讯游戏安全竞赛Andorid初赛 dumpdump so我使用的是gc修改器可以dump 具体操作参考https://blog.csdn.net/qq_49619863/article/details/131155604 当然用frida也行 12345678910111213141516171819202122var target_so = "libil2cpp.so";var path = "/data/data/com.com.sec2023.rocketmouse.mouse/";function dump_so(so_name) { var libso = Process.getModuleByName(so_name); console.log("[name]:", libso.name); console.log("[base]:", libso.base); console.log("[size]:",...
2024腾讯游戏安全竞赛Andorid初赛
2024腾讯游戏安全竞赛Andorid初赛需要附件请直接联系我 准备工作 寻找Gname 0xB171CC0 寻找Gworld 0xB32D8A8 寻找GUobject 0xB1B5F98 DumpSDK1234./ue4dumper64 --strings --newue+ --gname 0xB171CC0 --package com.tencent.ace.match2024 --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xB171CC0 --guobj 0xB1B5F98 --package com.tencent.ace.match2024 --output /data/local/tmp./ue4dumper64 --sdku --newue+ --gname 0xB171CC0 --guobj 0xB1B5F98 --package com.tencent.ace.match2024 --output /data/local/tmp --verbose./ue4dumper64...
2025腾讯游戏安全竞赛Andorid初赛
2025腾讯游戏安全竞赛Andorid初赛需要附件请直接联系我 发现了穿墙透视,子弹射速有问题,可能移动速度也有问题 准备工作寻找Gname搜索ByteProperty GName 对应的就是全局变量 wlock_,地址 0xADF07C0。 注意,这题里的 UE4 不是老式一个 GNames 数组指针的形态FNamePool,NamePoolData。也就是说ByteProperty 等硬编码名字,是被 sub_6A21FA4 调 sub_6A23DA8 塞进这个池里的 寻找GUObject dword_AE34A98 GUObjectArray 寻找Gworld qword_AFAC398,我这里的字符串识别错误了 DumpSDK1234./ue4dumper64 --strings --newue+ --gname 0xADF07C0 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xADF07C0 --guobj...
Android-Flutter逆向原理及实战
Android-Flutter逆向原理及实战文章原理部分参考:Android-Flutter逆向 | LLeaves Blog 最近实战逆向一些APP发现都有用到flutter,因此学习下flutter逆向,本文预计包括flutter介绍,flutter例题,flutter实战逆向几部分 Flutter介绍Flutter 是由 Google 推出的一个跨平台 UI 开发框架,最早在 2017 年发布。它允许开发者使用一套代码同时构建Android、iOS、Web、Windows、macOS、Linux 等多个平台的应用。Flutter 的核心语言是 Dart。 从逆向角度看,Flutter 与传统 Android 应用(Java/Kotlin + XML UI)在结构上差异非常大,因此分析方法也不同。 Flutter的基本架构Flutter 的架构大致分为三层: Framework(Dart 层):这是开发者主要编写代码的地方,全部使用 Dart Flutter框架层,开发者可以通过 Flutter框架层 与 Flutter 交互,该框架提供了以 Dart...
WMCTF2023 VNCTF2023 BabyAnti 分析
BabyAnti 详解重要:这里有个更正从WMCTF2023下载的附件应该出错了应该是BabyAnti1.0的附件,后面我出flag和发现没碰到mincore的问题才发现 java层发现了一些反调试的东西,并且在lib下发现了anticheat.so libapp.so直接搜索3000 用blutter分析下 1python3 blutter.py path/to/app/lib/arm64-v8a out_dir 然后ida导入脚本add_names,就能恢复符号了,但是问题在于不能建立交叉引用 1.rodata:0000000000020C78 39 39 C4 43 6F 6E 67 72 61 74 75 6C 61 74 69 6F ... 里面确实能看出明文: 1Congratulation! Here is your flag: 为什么没有普通字符串交叉引用,在普通 native 程序里,常见情况是: 12ADR X0, aHelloBL puts 这里代码直接拿到了字符串地址,所以 IDA 很容易建立:代码 -> 字符串 的...
WMCTF2025 Want2BecomeMagicalGirl复现
WMCTF2025 Want2BecomeMagicalGirl最近在总结flutter逆向 又重新看了一遍这道题 WMCTF2025 Want2BecomeMagicalGirl - Britney java层Java 层其实很短,真正有用的只有一条 Flutter 通道和一个 XXTEA变种 入口MainActivity onCreate() 只做了几件事: 注册 Flutter 通道:P0.b.c(aVarJ)。 弹一个 120 秒倒计时对话框,文本来自 story 资源。 真正流程关键在 P0/b.java:48: 它向 Flutter 注册了一个 MethodChannel(“to”)。 handler 取的是 hVar.f7172a,也就是 MethodCall.method,不是 arguments。 收到字符串后走 f(str)。 f(str) 的逻辑在 P0/b.java:79: 第一次调用时启动一个后台线程。 把种子重置为固定值 114514。 用 Java Random 同款 LCG 公式生成一个 16-bit...
简单学习ollvm混淆&polyre例题解析
简单学习ollvm混淆转载参考自:[原创]深入浅出 Ollvm 混淆原理及反混淆技术-Android安全-看雪安全社区|专业技术交流与安全研究论坛 OLLVM 的三大核心混淆手段:指令替换、虚假控制流、控制流平坦化 指令替换通过数学等价变换来增加代码复杂度的混淆技术。它的核心思想是将程序中原本简单的指令(如加法、异或),替换为一段功能等效但逻辑极其晦涩的指令序列。 比如把a+b换成a-b+c-c+b+b 去除手段D810 可以看到,虽然 D-810 成功去除了一部分混淆,但核心逻辑(RC4 的异或操作)依然被更深层次的 MBA 表达式掩盖,未能完全还原。 当 D-810 无法完全还原,或者你需要处理极高强度的 MBA 表达式时,GAMBA 是你的终极武器。 该工具的详细使用方法请移步:[分享]Ollvm 指令替换混淆还原神器:GAMBA 使用指南 虚假控制流通过向代码中注入永远不会执行的“死代码”块和难以预测的条件跳转,来干扰控制流图(CFG)分析。 不透明谓词:在程序运行时其真假结果是确定的,但对静态分析器而言难以推断其恒真或恒假的条件表达式。 示例:if (x *...
VNCTF2026 Shadow分析[驱动分析+反射注入]
ShadowVNCTF2026-Shadow-WP | Liv’s blog Maze.exe一个简单迷宫 sys分析下 Findcrypt发现AES sub_14000C000从全局 Pool 拷贝 0x5E00 字节,然后调用 sub_140001168 做 16 字节分组变换 确认是 AES 轮函数(S-box 在 0x140004000,Rcon 在 0x140003070,密钥在 dword_14000A000) 静态分析AI搓个脚本 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849import argparseimport pefilefrom Crypto.Cipher import AES# Challenge-specific RVAs from stage1 sys.KEY_RVA = 0xA000ENC_BLOB_RVA = 0x4200ENC_BLOB_SIZE = 0x5E00def read_rva_bytes(pe:...
VNCTF2026 Re
VNCTF2026 Re 复现做alictf去了 没怎么做 简单看看题 ez_maze难度:签到 主要是壳上了 exeinfo上看没有壳 die识别出了是个upx 但是010没找到相关特征,应该是魔改了,使用各种脱壳工具无法直接脱壳,需要手脱 大致看了下程序首先会jmp到102A,102A会jmp到E9D0 入口点:ImageBase + 0x31000(也就是 .arch 节) .arch开头看起来像乱码,但它先 jmp到 0x3102A,那里是一条jmp rel32,也就是跳到.rdata 内部 RVA 0x1E9D0(这段才是真壳代码)。 在 RVA 0x1E9D0 这段反汇编非常典型: rsi 指向 .rdata 起始(压缩数据流) rdi 被设置成 rsi - 0x1B000 因为 .rdata 起始是 RVA 0x1C000,所以目标地址是:0x1C000 - 0x1B000 = RVA 0x1000 也就是说:把压缩流解压到 RVA 0x1000(原 .text)。 另外它内部的 bit-buffer 读法是 UPX stub 常见的:add...