CYRUS_STUDIO

前言 在上一篇《手写 Android Dex VMP 壳：自定义虚拟机 + 指令解释执行全流程》中，我们从零实现了一个简易的 Dex VMP 壳，通过自定义虚拟机和指令解释执行，让应用代码在运行时以“

前言 在 Android 安全领域，VMP（Virtual Machine Protection，虚拟机保护）壳 一直被视为最难攻克的加固技术之一。它通过将 Dex 指令转换为自定义字节码，再由虚拟机

Frida Stalker Frida Stalker 是 Frida 提供的一个强大的指令级追踪引擎，它能够在目标进程运行时，动态捕获每一条指令的执行情况。与传统的函数级 hook 不同，Stalk

前言 在移动应用的安全加固中，OLLVM（Obfuscator-LLVM） 是一种常见的代码混淆与保护手段。它通过控制流平坦化、虚假控制流、指令替换等方式，使逆向分析者很难直接还原出原始算法逻辑。 然

Android 线程相关命令 1. 获取 PID 2. 查看线程信息 方法一：进入 /proc//task 进入 adb shell 执行下面命令 这个目录中每一个子目录的名字就是该 App 的一个线

利用 SIGTRAP 检测调试器 在 Linux 的进程管理中，信号（Signal） 是调试器与被调试进程沟通的核心机制。断点、单步执行、进程暂停与恢复等操作，背后都依赖于特定信号的传递。 其中，SI

常见的反调试手段 在 Android 安全对抗中，反调试 几乎是 App 的标配。开发者往往会在关键逻辑中加入各种检测手段，只要发现进程被调试，就立即崩溃或退出，从而大幅增加逆向人员分析的难度。 常见

前言 在使用 Android NDK 编译 so 文件 时，默认情况下，所有 public C/C++ 函数都会被导出 。这意味着无论函数是否真正需要对外使用，它们的符号表都会出现在 so 文件中。只

前言 在 Android 应用的 Native so 中，C/C++ 字符串是最容易泄露的弱点 。只要用 IDA、Ghidra 等逆向工具打开 so，明文字符串往往一览无余，核心逻辑、协议关键字、敏感