孤木落の博客

逆向分析时，我们经常需要修改 native 层的行为。比如给某个函数加个日志输出，或者 hook 掉某些检查。传统方法是用 IDA 改完再导出，或者用 Frida 动态 hook。但有些场景下动态 hook 不方便，静态修补反而更直接。而且静态修补可以永久修改文件，一劳永逸。

但手动改 ELF 真的挺麻烦的：要处理段扩展、重定位、PC 相对指令修复……稍微不注意就改坏了。所以我想要一个工具，让我只需要写汇编代码，剩下的自动搞定。就像写个脚本一样简单。

通过linux源码和deepseek学习arm64 linux设备对page fault的处理。本篇文章是使用脏页检测动态hook思路的基础。
先说一下检测方案（对于r-xp可执行段）：

1. 检测系统库时：利用smap判断是否有dirty和匿名内存；利用pagemap检测是否为file-backend，不为匿名且不为独占映射。
2. 检测自己的库时，利用smap判断是否有dirty和匿名内存；利用pagemap检测是否为file-backend且不为匿名。
   为进一步提高效率，可以用lseek在记录偏移后加速定位。

Git教程的最后一篇，应该吧

git教程，continue ~

听说某box的去签可以绕过360的签名校验，拿过来研究了一下

最近抽时间分析了一下java.lang.instrument包的使用方式，记录下来写成一篇的文章。

好奇一些常见的java层签名校验实现思路，于是研究了一下SRpatch这一优秀的工具，学到了不少知识

简单的git教程