这个加固是来自国内某个公司的作品,虽然在强度不是太高,但思路却不错,很好的平衡了性能和保护效果。目前看来,分析的这个版本只是一个很初级的框架,如果再此之上进行更多的防护和保护,强度会更好。
加固之后,其效果是DEX中某些函数被加上ACC_NATIVE标志,原始的DEX代码已经消失,使得反编译、二次打包等功能失效。而加固之后新增的Libt**.so则负责在运行的时候,还原那些被抽取的Dalvik虚拟机代码。
了解一下相关的结构有助于分析:
RDB文件常见于腾讯的客户端软件,大多数与UI资源相关,包括了各种图片、XML等。
[File Header][File Description Table][File Data]
文件头包含了文件基本结构的信息,File Description Table描述了文件名、大小和偏移,最后就是实际文件的数据,没有加密或者压缩。
File Header由四个域组成,C语言描述如下:
前几天面试管家,让我分析一个IE10以上的漏洞并给出详细报告,我挑了个CVE-2014-0322。从前都是从崩溃点之后开始分析ShellCode,这次把前前后后的细节都看了一遍,受益匪浅。趁着有感觉,今天又看了一下CVE-2013-3897,发现出错的逻辑是一样的,均和AddRef有关。POC来自这里。
分析的目标是Windows XP Professional SP3下IE8的mshtml.dll文件,详细信息如下:
文件名:mshtml.dll 文件版本:8.00.6001.18702 MD5:D469A0EBA2EF5C6BEE8065B7E3196E5E SHA1:FD6CB9D197BB58C339DEFE6E2C3B03FB3B62B440
这里只记录一下崩溃点之前对象的LifeTime,这也是UAF的主要原因。