@Aimer wrote:
我说真的。硬编码所有系统版本地址的傻屌黑灰产真是努力Cry
起源于下午闲的没事的个人Research,这一思路首先在数月前写在我的博客上 http://mayuyu.io/2017/04/05/2017-04-04-Random-Thoughts-On-Hooking-Short-Functions/
因为MG函数的特征非常固定。即MGCopyAnswer的第二个bl为真实跳转地址。所以我们可以通过内嵌Capstone Engine来实现自动判断。而非傻屌黑灰产努力cry的硬编码所有系统offset再加几十个switch case
所以实现步骤即为:
- 获取函数实现地址
- 开始CSE解码并计算第二个分支指令
- 对目标地址使用MSHF
- 开始刷墙赚钱
PoC代码:
你可以在我的博客上看到更多 http://mayuyu.io/2017/06/27/2017-06-26-HookingMGCopyAnswerLikeABoss/
Posts: 2
Participants: 1