目录(点击切换)
本文节选自《风控要略》电子版:
0int64七RRM64_REG_X558-inte4七RARM64REGX679.int64七RARM64REGXI7:10.int64七RARM64_REGX8;1int64七ARM64REGX97125int64七RARM64REG_X10:13nt64七RARM64_REG_X11714。int64七RARM64_REG_X1275int64七RRM64REG_X13:6Int64.七RARM64REGX14:汪汪int64七RARM64_REGX15718int64七RRM64REG_X16;//RARM64REG_IP09int64七RRM64REG_X17;//RARM64REG_IP120.int64七RARM64_REG_X18:,2int64七RRM64_REGX19:2int64七RARM64_REG_X20;23int64七RARM64REGX21;24.int64七RRM64_REGX22:25int64七RARM64REG_X23;26.int64七RRM64REGX24727呈int64七RRM64REGX25:28.int64七RRM64_REG_X26:29.int64七RRM64_REG_X277立0int64七RARM64REGX28:3int64上RRM64REG_INVRLID\'2int64七RRM64REGX29;/VEFP二int64七RARM64_REGX30;/7/LR34。int64七RARM64_REG_NZCV;//标志寄存器35.int64七RARM64_REG_SP;36。int64七RARM64REGWSP:”351nt64RRM64REGZR38.int64七RARM64_REG_XZR59int64七RARM64_REG_PC;40.arm64floatregfloatreginfo;41.arm
风控要略
64_dword_reg_infodword_reginfo;42.#itfdefined(_aarch64_)43.arm64qdq_reginfodo_reginfo\';44.#endif本日志arm64_Dx_reg_infoQqD_reginfo\',46.}reg_info_arm64:4.3.2.5.3”翻译模块翻译模块是指将源代码用Clang编译成IR文件(中间语言),然后对IR中的函数进行指令处理,将指令翻译成自定义CPU的扎令,再用新生成的指令蔡换原先的指令。在翻译过程中,要对原有指令中的操作数和资源等进行特殊处理。在虚拟机中执行指令时,需要加载的字符串、常量数组或外部函数等统称为资源。例如,在执行blstrlen时,需要根据当前pc值找到对应的blstrlen再调用函数值。同样,在arm64中需要加载某个字符串“ABCDEFGHJKLMNOPQRSTUVWXYZzabcdefghijklmnopqrstuvwxyz0123456789+/”时,我们需要在自定义的资源重定位表中定位到字符串的位置,然后加载到自定义的虚拟机中,这个过程称为资源重定位。以base64中的base64_encode()函数为例进行虚拟化操作,源代码如图4.18所示。L9char#base64_tabtLe=\"ABCDEFGHIJKLMNOPQRSTUVWXYZzabcdefghijktmnopqrstuvwxyzt|人下Tif(str_ten%3==0)Ed[ET-人二二二于CE二再|人本间折于下和才计二。庆生让二|ICE人】{case1:由LE图4.18base64encode()函数源代码如图4.19所示为原始函数在IDA中的反编译效果,整个逻辑清晰明了。代码经过编译器优化和IDA反编译,实现方式有所变化,但是执行效果是完全一致的。nsignedintB*fastc
风控要略 下载
allbase64encodetunsignedintBsstr)nsigmnedinat8B*wli//xl19一int6a27/x0一tat6&v3)//x8boolv4/AzBignedint6495)/Ax20signed一int646;/AxBignedinat64Y7;//x21TBEGaediatS*Fesulti/A0intv9177vBatgnedint649108//>日unsigned:ntSsw118/7Axlmsigaedint64912;)//xl13nsigaed一iatS*9131//x15nsiganediatv14;/ANIaaigaed:mt15)/At1让ea(7(unsignedintl28)(v2*。(sdlgnedinti28)6148914691236517206LL)>>64)《《(unadgaed一int64)《(unsignedintiI28)(Y2*《aignedint128)6148914691236517206LL)>>64)>>63)12~-3uv3?百十全=〔unsignedints*)malloc(v7|1)73)=人bcasrglijxaaafvi2>>2]511~-1))=aabcdafghijklzmn[(v14>>4)5OzFFFFFFCF|16。(v1253)],13-~1)=ahbcdefghijklmn[(v15>>6)&0OxFFFFFFC3|4(v14夯OxP)];=ahbcdefghijklsn[y15&Ox3F]710+LEde(vio<s-2)89查Y71图4.19base64encode()函数反编译后的代码我们将base64_encode()函数进行虚拟化后使用IDA反编译,效果如图4.20和图4.21所示,整个base64encode()函数的源指令全部被隐藏了。
风控要略 反欺诈
| 风控要略电子书下载 | 风控要略 电子版 |
| 风控要略互联网业务反欺诈 | 风控要略 互联网业务反欺诈之路 pdf |
| 风控要略 pdf | 风控要略 豆瓣 |
综上:风控要略:互联网业务反欺诈之路值得推荐阅读
历史上的今天:
- 2020: 不起眼却能拉⾼复购率的赠品,应该怎么送呢?(0条评论)
- 2020: 推荐几本做副业的人应该看的书(0条评论)
- 2020: 客户基数有限时,更要把重心放到老客户身上(0条评论)
- 2020: 硬功夫是我们进步最重要的推动力(0条评论)
- 2020: 做副业的人常用的几个工具介绍(0条评论)
评论已关闭!