CYRUS_STUDIO

unidbg 简介 unidbg 是一个基于 Java 的 Android 动态分析框架，专注于模拟 Android 应用中的 native 代码。以下是它的主要功能： 支...

AndroidNativeEmu AndroidNativeEmu 专为 Android 原生代码调试和模拟设计，特别关注 JNI 调用和 Android 环境。相比之下，...

struct.pack 方法介绍 struct.pack 是 Python 标准库 struct 模块中的一个函数，它用于将 Python 的基本数据类型（如 int、fl...

在 Unicorn 中，Hook（钩子）用于在模拟过程中拦截 CPU 指令执行、内存访问等操作，以便分析和修改执行行为。 Hook 主要类型 Unicorn 提供了多种 H...

注意：如果参数个数超过一定数量时，ARM 和 ARM64 参数传递时的处理如下 **ARM (AArch32) 参数传递规则** 1. 前 4 个参数（整数/指针）使用 R...

Frida 反汇编 Frida 提供了反汇编 API，主要用于对目标进程的代码进行动态分析，例如： 获取函数的机器代码并将其反汇编为汇编指令。 分析内存中的指令流。 这些功...

Capstone 简介 Capstone 是一个强大的多平台开源反汇编框架，用于将机器码翻译为汇编代码。 官网：https://www.capstone-engine.or...

上一篇【详解如何自定义 Android Dex VMP 保护壳】实现了 VMP 保护壳。 为了进一步加强对 dex 指令的保护，实现指令流加密和动态加载，比如使用 AES ...

前言 Android Dex VMP（Virtual Machine Protection，虚拟机保护）壳是一种常见的应用保护技术，主要用于保护 Android 应用的代码...

OLLVM、LLVM 与 Android NDK 在 Android NDK 中，LLVM/Clang 是默认的编译器。自 Android NDK r18 开始，Googl...

前言 把 OLLVM 移植到 LLVM18 后，发现 -fla（控制流平坦化）并不能正常使用。 关于移植过程可以参考这篇文章 【移植 OLLVM 到 LLVM 18，C&C...

OLLVM 简介 OLLVM (Obfuscator-LLVM) 是一个基于 LLVM 的代码混淆工具。 LLVM 是一个广泛使用的编译器框架，OLLVM 在其基础上提供了...

docx2markdown docx2markdown 是一个可以把 docx 文件中内容转换为 markdown 的 python 库。 目前支持： 一级到六级标题 文本...

1. LLVM IR LLVM IR（Intermediate Representation） 是 LLVM 编译框架中的一种中间表示形式，它是一种面向低级的中间代码，是 ...

1. LLVM 简介 LLVM 是一个开源的编译器基础架构，最初由 Chris Lattner 于 2000 年在伊利诺伊大学开发，后来成为一个广泛应用于编译器和程序分析的...

什么是系统调用 (syscall) 系统调用是操作系统提供给应用程序的一组接口，允许用户空间程序与内核进行交互。 在 Android（基于 Linux 内核）中，系统调用由...

内联汇编 Android 内联汇编非常适用于 ARM 架构的性能优化和底层操作，通常用于加密、解密、特定指令优化等领域。 1. 基础语法 内联汇编在 C/C++ 代码中通过...

ARM64汇编寻址 1. 立即数寻址（Immediate Addressing） 这种方式直接将立即数作为操作数，适合小数据或常量。ARM64的立即数在指令中直接编码。 2...

条件标志 在 ARM 指令集中，条件标志是控制指令执行的一种机制，它们用于实现条件分支、比较和其他逻辑操作。 我们平时使用 IDA 调试程序时，在 general regi...

Thumb指令集 ARM 指令集：最早在 1985 年随第一代 ARM 处理器问世。ARM 指令集一开始是 32 位固定长度的指令，用于各种计算任务。 Thumb 指令集：...