5月27日晚,微博上看到些QQ 上发送[菜刀]+数字+[表情]就会被转为骂人的话,28日中午就分析完了,但一直懒得发出来,今天补上。吐槽一下知乎上的某些沙雕分析文(小声 bb)
标签:Android
codegate qualifier 2018 android writeup
《welcome to droid》,傻逼题目。。。
codegate final 2018 writeup
远程支援,做了三个逆向,一个《GoCrack》,两个游戏题《Game》,输出还行。
ddctf 2018 android writeup
空余时间刷了下ddctf,ak 了 android,不难,整理发一下 writeup。
hitbctf 2018 android writeup
HITB-CTF 2018 有2个安卓题《multicheck》、《kivy_simple》,抽空稍微做了一下,挺简单的。
sixstartCTF 2018 android writeup
ripples 大佬出的安卓逆向,做起来好坑,瞎搞八搞终于做出来了。时间过去有点久,忘了这题在干嘛了。。。
Dalvik方法调用的字节码分析——逆向安卓 QQ 时小问题引起的思考
QQ 出了表情骂人的 bug 后,随手逆了一下,过程中发现有些调用过程颠覆了我的三观,出现了同名同参数、返回值不一样的两个方法,这样代码编译都不过,为什么会正常运行呢?
为FlowDroid加上addJavascriptInterface分析(下)(未完待续)
其实我们最初的目的已经实现了,本文讲如何实现对callback的精准标记Source,最后讲一下对整个FlowDroid代码的理解和评价。
为FlowDroid加上addJavascriptInterface分析(中)
接上篇,上篇主要遇到问题是Source无法对Parameter进行标记,本文两部分,第一部分讲如何加上标记并且完成整个CFG(隔的时间太长了,不大记得这个操作了),第二部分讲通过加入Callback的方式让JSInterface的代码变得可达,并且成功实现预期。
为FlowDroid加上addJavascriptInterface分析(上)
接上篇,上篇末尾提到FlowDroid本身是扫不到webview的js远程调用的,因为原理上讲带有JavascriptInterface注解的代码是不可达的,本文讲一下为如何从零开始,通过修改源码的方式,对FlowDroid进行修改和拓展。