AndroidLinker与SO加壳技术之下篇

最新推荐文章于 2023-07-13 14:43:41 发布
置顶 最新推荐文章于 2023-07-13 14:43:41 发布
阅读量875 收藏 2
点赞数 1
分类专栏: 加固技术 文章标签: Android开发 移动安全 安卓应用 SO加壳 腾讯御安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YAQSecurity/article/details/53203526
版权
本文详细探讨了Android系统中动态链接库SO的链接过程,包括定位dynamic section、解析dynamic section、加载依赖SO和重定位等步骤。重点分析了重定位的详细过程,解释了如何修复导入符号的引用。此外,文章还介绍了SO加壳技术,探讨了loader执行时机和如何在内存中还原并加载SO。
摘要由CSDN通过智能技术生成

点此查看上篇《AndroidLinker与SO加壳技术之上篇》

2.4 链接

链接过程由 soinfo_link_image 函数完成,主要可以分为四个主要步骤:

1. 定位 dynamic section,
由函数 phdr_table_get_dynamic_section 完成,该函数会遍历 program header,找到为类型为 PT_DYNAMIC 的 header, 从中获取的是 dynamic section 的信息,主要就是虚拟地址和项数。

2. 解析 dynamic section
dynamic section本质上是类型为Elf32_Dyn的数组,Elf32_Dyn 结构如下

typedef struct {

    Elf32_Sword d_tag;      /* 类型(e.g. DT_SYMTAB),决定 d_un 表示的意义*/

    union {

        Elf32_Word  d_val;  /* 根据 d_tag的不同,有不同的意义*/

        Elf32_Addr  d_ptr;  /* 虚拟地址 */

    } d_un;

} Elf32_Dyn;

Elf32_Dyn结构的d_tag属性表示该项的类型,类型决定了dun中信息的意义,e.g.:当d_tag = DT_SYMTAB表示该项存储的是符号表的信息,d_un.d_ptr 表示符号表的虚拟地址的偏移,当d_tag = DT_RELSZ时,d_un.d_val 表示重定位表rel的项数。
解析的过程就是遍历数组中的每一项,根据d_tag的不同,获取到不同的信息。
dynamic section 中包含的信息主要包括以下 3 类:

- 符号信息

- 重定位信息

- init&finit funcs

3. 加载 needed SO
调用 find_library 获取所有依赖的 SO 的 soinfo 指针,如果 SO 还没有加载,则会将 SO 加载到内存,分配一个soinfo*[]指针数组,用于存放 soinfo 指针。

4. 重定位
重定位SO 链接中最复杂同时也是最关键的一步。重定位做的工作主要是修复导入符号的引用,下面一节将对重定位过程进行详细分析。

soinfo_link_image 的示意代码:

static bool soinfo_link_image(soinfo* si, const Android_dlextinfo* extinfo) {

...

    // 1. 获取 dynamic section 的信息,si->dynamic 指向 dynamic section

    phdr_table_get_dynamic_section(phdr, phnum, base, &si->dynamic,

                                   &dynamic_count, &dynamic_flags);

...

    // 2. 解析dynamic section

    uint32_t needed_count = 0;

    for (ElfW(Dyn)* d = si->dynamic; d->d_tag != DT_NULL; ++d) {

        switch (d->d_tag) {

         // 以下为符号信息

         case DT_HASH:

            si->nbucket = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr)[0];

            si->nchain = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr)[1];

            si->bucket = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr + 8);

            si->chain = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr + 8 + si->nbucket * 4);

            break;

         case DT_SYMTAB:

            si->symtab = reinterpret_cast<ElfW(Sym)*>(base + d->d_un.d_ptr);

            break;

         case DT_STRTAB:

            si->strtab = reinterpret_cast<const char*>(base + d->d_un.d_ptr);

            break;

         // 以下为重定位信息

         case DT_JMPREL:

            si->plt_rel = reinterpret_cast<ElfW(Rel)*>(base + d->d_un.d_ptr);

            break;

         case DT_PLTRELSZ:

            si->plt_rel_count = d->d_un.d_val / sizeof(ElfW(Rel));

       

最低0.47元/天 解锁文章
御安全
关注
专栏目录
Android SO 加壳(加密)与脱思路
jltxgcy的专栏
08-14 2万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 中的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程中,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
UPX源码分析——加壳
chengman3837的博客
02-23 3977
0x00 前言 UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对E...
linux下最好用的upx加壳工具
12-23
upx是一个用的最多的加壳工具,有效的防止程序被人进行反编译破解 这个是linux 下32位
AndroidLinker与SO加壳技术
androidstar_cn的博客
11-29 880
1. 前言 Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳
Android Linker详解
大数据安全技术学习
10-15 5066
Android Linker详解 Android Linker详解 本文目的 Linker入口 So的装载 总结 本文目的 Unidbg在对So进行模拟执行的时候,需要先将So文件加载到内存,配置So的进程映像,然后使用CPU模拟器(Unicorn、Dynamic等)对So进行模拟执行。本文的目的是为了彻底搞懂So文件是如何加载到内存的,以及加载进内存之后做了什么,史无巨细,握住方向盘 Linker入口 我们在Android程序中,往往会使用到JNI编程来加快某些算法的运行或增加APP的逆向难度。
linker截获API调用
08-06 1421
后文的方法未考证,感觉行不通,部分方法可以借鉴。 Android 的加载/链接器linker 主要用于实现共享库的加载与链接。它支持应用程序对库函数的隐式和显式调用。对于隐式调用,应用程序的编译与静态库大致相同,只是在静态链接的时候通过--dynamic-linker /system/bin/linker 指定动态链接器,(该信息将被存放在ELF文件的.interp节中,内核执行目标映像文件前将
Android Linker学习笔记
zhangmiaoping23的专栏
12-16 531
原文地址:http://drops.wooyun.org/tips/12122 0x00 知识预备 LinkerAndroid系统动态库so的加载器/链接器,要想轻松地理解Android linker的运行机制,我们需要先熟悉ELF的文件结构,再了解ELF文件的装入/启动,最后学习Linker的加载和启动原理。 鉴于ELF文件结构网上有很多资料,这里就不做累述了。 0x01 so的加载和启动 我们知道如果一个APP需要使用某一共享库so的话,它会在JAVA层声明代码: #!java S.
Android之整体脱原理与实践,今天带你详细了解各组件原理
m0_64604636的博客
12-12 1927
二.判断的类型: 判断App是不是加壳很简单,使用jadx打开Apk以后,查看App的四大组件类,如果组件类找不到实现,那么就是整体加壳了。 比如这里只能看到qihoo相关的代码,App的代码被隐藏了: 判断是不是函数抽取型就是看函数体是不是有意义的代码,比如下面就是一个抽取型,可以看到函数体都是nop指令: 判断是不是dex2C/VMP,就是要看是不是有Java方法被native化了,至于到底是dex2C还是VMP则需要更一步的判断,比如native函数注册地址是否相同: 三. 加壳
android linker加载和链接机制
最新发布
寻梦&之璐
07-13 1530
至此so文件的读取,加载工作就分析完毕了,我们可以发现,Android对so的加载操作只是以段为单位,跟section完全没有关系,另外,通过查看verifyElfheader的代码,我们还可以发现,android系统仅仅对ELF文件头的e_ident,e_type,e_version,e_machine进行验证(当然,e_phnum也是不能错的)所以,这就解释了为什么有些加壳so文件头的section相关字段可以任意修改,系统也不会报错了。首先是init_array节区的数据结构。
Android SO 加壳
03-14 4877
针对 SO 文件普遍存在的反编译、文件补丁、内存补丁、动态调试等恶意攻击行为,Virbox Protetor采用 SO 文件虚拟化等安全加固技术,全面保护 SO 文件安全,避免开发者因遭受应用破解、盗版等带来的安全风险,减少经济损失。 本地加密/无需上传APP/不限制 APP加密个数 》》 安卓 SO 保护 so 库指令级混淆、虚拟化 so 库完整性校验、文件加壳压缩 功能 指令级代码混淆、代码虚拟化、代码加密等多种方式保护代码逻辑 加密代码中使用的敏感字符串 校验程序内存完整性,防止...
简单粗暴的so加解密实现
xxmbaobao1的专栏
02-11 2643
原文链接:http://bbs.pediy.com/showthread.php?t=191649&highlight=apk 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平,本菜没有找到安卓平台一些具体实现思路,这些方法都是借鉴其他平台的实现思路和本菜的YY,肯定会有不少疏漏和错误之处,还
PLT、GOT ELF重定位流程新手入门(详细到爆炸)
Doub1's Blog
02-05 1587
如果你使用当前rip+0x2fe2你会得到一个错误的地址,因为x64下的RIP相对寻址需要跳过当前RIP,也就是其实是下一条指令的地址+0x2fe2。让它进行跳转,但是这样你就不会理解为什么汇编代码没有变跳转的地址却不同,新手兄弟们可以跟着我一步一步计算,我们首先看看这个jmp是。这就很奇怪了,网上的文章明明说这是索引,确实是这样,其实这里传入的是。我们注意一下.got.plt的地址,由于关闭了pie,我们可以看到地址了,是。是不是很好玩,此时存的内容就是它的下一条指令地址,看图。
基于linker实现so加壳技术
大数据安全技术学习
09-24 731
《基于linker实现so加壳技术基础》上 前言 本是一个追随技术的人照着网上为数不多的资料,在探索过程中发现了许多意想不到的问题,搜了好多文章发现对于这方面的记载很少,甚至连一个实现的蓝本都没找到,写下这文章希望能帮到像我一样对so感兴趣的伙伴在做实践的时候能有一个抓手,只有了解了加壳原理才能更好的脱,其实so文件在系统当中都对应了一个soinfo指针如果能找到soinfo指针那么脱掉so也不是不可能,如果有机会的话后面会出so脱相关的知识,其实最难的点在于如何找到当前so的soinfo指针
嵌入式Linux支持dlopen,《嵌入式Linux内存与性能详解》笔记3——动态库内存优化...
weixin_42490217的博客
05-06 872
一、前言在编程中,我们有时会使用到静态库和动态库,而静态库是链接到程序之中的,基本上静态库的优化与进程类似。但动态库是加载在内存空间中的,是在运行时链接的。它的优化方式比较不同,本文我们就简单地讲述一下动态库如何优化二、动态库对于 动态库 而言,它仅包括 2 个段:只读的代码段可修改的数据段。堆段 和 栈段 只有进程中才有。所以,如果你在动态库的函数里分配了一块内存,这段内存将被算在调用该函数的进...
linux so 加壳,[android] 从加壳的so文件中抽出symbols
weixin_39542936的博客
05-13 652
0x00 背景大家可能碰到过加壳的so文件,一般很轻松能从内存中dump出解密后的so文件,但是问题是dump出来的so文件里的symbol虽然都在,但是symbol所对应的函数地址都没有了,这样你dump出的so即使放在IDA中分析,看上去也是没有symbol的,难以分析。所以我做了一个可以把内存里的符号表也dump出来的小工具。0x01 原理原理很简单,一般加壳工具会利用init_array来...
几维so文件加壳初步分析
雪一梦的博客
11-04 4158
这是早期分析的一点点几维中的so文件加壳,没分析完,好像也现在很少看到他们用了,也没时间看,以下是之前分析的: 一、分析: 首先看到核心的函数全部变成了以下这种形式: So加壳的话,首先定位到.init_proc这个导出函数中,去分析: 通过静态分析可知道:加固完以后几个So文件的主要功能如下: libkwscr.so:主要是程序crash记录函数; libkwscmm.so:加...
Linux逆向---ELF动态链接
zekdot的博客
12-02 2269
ELF动态链接 静态链接通过将整个库都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享库来实现可执行文件对共享库中函数的调用,在执行时将共享库加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享库,所以我们需要实现一个共享库文件: 首先是头文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
Android SO安全保护:自定义加载器加壳技术探讨
"Android SO加壳技术研究,文学路,郭燕慧,主要研究方向:移动安全,信息安全管理。本文提出了一套基于自定义加载器的SO加壳保护系统,实现对SO的内存加载和关键信息的隐藏,以增强动态分析的难度。" Android应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值