eBPF - SeeFlowerX

基于eBPF的安卓逆向辅助工具——stackplz

前言stackplz是一款基于eBPF技术实现的追踪工具，目的是辅助安卓native逆向，仅支持64位进程，主要功能如下：hardware breakpoint 基于pref_event实现的硬...

2023-09-08 默认分类，eBPF，逆向暂无 2 °C

前言尝试站在syscall的视角看root检查，但是eBPF环境Redmi Note 11T Pro使用DirtyPipe-Android提权获取root后卸载了magisk目标是com.sta...

2022-12-03 eBPF，逆向暂无 0 °C

前言本文将演示如何利用eBPF手段快速定位frida反调试（简单版）环境可以运行stackplz的手机stackplz目标Y29tLndvZGkud2hv 64位版步骤首先打开APP，啥也不动，...

2022-11-28 eBPF 暂无 2 °C

前言在stackplz早期测试过程中，发现在某些手机上无法使用，且手机出现了重启现象本文将记录分析过程记录stackplz最早测试都是在Pixel 4XL进行的，这个手机我重新编译了内核，开启了...

2022-11-19 eBPF 暂无 3 °C

https://github.com/SeeFlowerX/stackplz前言本文将介绍stackplz从0到1的实践过程主要目的是为大家提供一个可复现的案例，降低eBPF在Android实践...

2022-11-17 eBPF 暂无 1 °C

前言本文主要参考定制bcc/ebpf在android平台上实现基于dwarf的用户态栈回溯对其中的内容做一点扩展，并对具体的代码修改进行详细说明在阅读本文之前建议先过一下参考文章效果示意：环境仅...

2022-10-16 eBPF 暂无 0 °C

前言在之前的这篇文章中尝试了ptach内核，但是尝试开启CONFIG_KRETPROBES后出现了触摸和WIFI失效的情况eBPF on Android之打补丁和编译内核后来和missking交...

2022-10-02 eBPF eBPF，内核 2 °C

前言好像还没有人发过编译安卓版ecapture的教程，这里记录下编译要点步骤编译必须是在arm64的系统下进行官方指南建议使用ubuntu aarch64编译，不过编译老是买服务器也耗不起所以我...

2022-08-10 eBPF 暂无 2 °C

根据bcc的样例，写了一个自己逻辑看着清楚一点的demo脚本目标是libc.so的open函数，效果如下from bcc import BPF BPF_CODE = ""...

2022-07-03 eBPF eBPF，bcc 0 °C

本文属于错误示范，请参考eBPF on Android之打补丁和编译内核修正版进行内核修改与编译前言在eBPF on Android之bcc编译与体验末尾提到可以修改内核，打补丁以获取更好的eB...

2022-07-02 eBPF eBPF，bcc 5 °C