继续练手,http://bbs.pediy.com/showthread.php?t=193877
-------------------------------------------------------------------------------
尝试和第二题的方法,ATTACH到进程退出,估计有反调试。
查看task目录,多了几个线程,估计是反调试用的。
纠结了半天,还是从SO静态分析入手,找到SO入口点。IDA直接打开肯定悲剧,先用READELF查看基本信息
这里注意到NOTE segment很怪异,后面几个segment offset 也被篡改了,修复即可。
现在用IDA打开了,静态分析,发现代码解密在handle::code -> tdog_decrypt函数,其解密算法已有,可以直接拿出来解密函数了。
不过我不打算这么做,让程序自己解密,仅需DUMP解密后的数据修复原SO文件。
先找到SO入口点,在IDA中不能看到section信息,使用readelf -d查看dynamic信息
注意到存在.init,从linker call_construt可以看到,这个函数先于init_array执行,故此为入口点。
从头调试进程,在linker下断点跟进。通过静态分析,解密函数是通过开启线程来工作的,在secwork::secwork函数中,不影响调试,
在handle_code中tdog_decrypt下断点,全速运行。
程序退出,那么之前存在反调试监测。查看SO,在
存在secheck::secheck,故屏蔽或者挂起线程即可。
全速运行,直到在tdog_decrytp断下,F8单步,dump出内存:offset = 0x0x5438, length = dfb0
python脚本替换SO中这段数据,用IDA打开。
已出此函数,F5打开看了下流程,和前面差不多,难得去看了。
尝试修复修改入口点,去掉.init函数,打包回原工程,可以启动,算有点脱壳的意思了。