AndroidLinker与SO加壳技术之下篇

最新推荐文章于 2023-07-13 14:43:41 发布
置顶 最新推荐文章于 2023-07-13 14:43:41 发布
阅读量873 收藏 2
点赞数 1
分类专栏: 加固技术 文章标签: Android开发 移动安全 安卓应用 SO加壳 腾讯御安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YAQSecurity/article/details/53203526
版权
本文详细探讨了Android系统中动态链接库SO的链接过程,包括定位dynamic section、解析dynamic section、加载依赖SO和重定位等步骤。重点分析了重定位的详细过程,解释了如何修复导入符号的引用。此外,文章还介绍了SO加壳技术,探讨了loader执行时机和如何在内存中还原并加载SO。
摘要由CSDN通过智能技术生成

点此查看上篇《AndroidLinker与SO加壳技术之上篇》

2.4 链接

链接过程由 soinfo_link_image 函数完成,主要可以分为四个主要步骤:

1. 定位 dynamic section,
由函数 phdr_table_get_dynamic_section 完成,该函数会遍历 program header,找到为类型为 PT_DYNAMIC 的 header, 从中获取的是 dynamic section 的信息,主要就是虚拟地址和项数。

2. 解析 dynamic section
dynamic section本质上是类型为Elf32_Dyn的数组,Elf32_Dyn 结构如下

typedef struct {

    Elf32_Sword d_tag;      /* 类型(e.g. DT_SYMTAB),决定 d_un 表示的意义*/

    union {

        Elf32_Word  d_val;  /* 根据 d_tag的不同,有不同的意义*/

        Elf32_Addr  d_ptr;  /* 虚拟地址 */

    } d_un;

} Elf32_Dyn;

Elf32_Dyn结构的d_tag属性表示该项的类型,类型决定了dun中信息的意义,e.g.:当d_tag = DT_SYMTAB表示该项存储的是符号表的信息,d_un.d_ptr 表示符号表的虚拟地址的偏移,当d_tag = DT_RELSZ时,d_un.d_val 表示重定位表rel的项数。
解析的过程就是遍历数组中的每一项,根据d_tag的不同,获取到不同的信息。
dynamic section 中包含的信息主要包括以下 3 类:

- 符号信息

- 重定位信息

- init&finit funcs

3. 加载 needed SO
调用 find_library 获取所有依赖的 SO 的 soinfo 指针,如果 SO 还没有加载,则会将 SO 加载到内存,分配一个soinfo*[]指针数组,用于存放 soinfo 指针。

4. 重定位
重定位SO 链接中最复杂同时也是最关键的一步。重定位做的工作主要是修复导入符号的引用,下面一节将对重定位过程进行详细分析。

soinfo_link_image 的示意代码:

static bool soinfo_link_image(soinfo* si, const Android_dlextinfo* extinfo) {

...

    // 1. 获取 dynamic section 的信息,si->dynamic 指向 dynamic section

    phdr_table_get_dynamic_section(phdr, phnum, base, &si->dynamic,

                                   &dynamic_count, &dynamic_flags);

...

    // 2. 解析dynamic section

    uint32_t needed_count = 0;

    for (ElfW(Dyn)* d = si->dynamic; d->d_tag != DT_NULL; ++d) {

        switch (d->d_tag) {

         // 以下为符号信息

         case DT_HASH:

            si->nbucket = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr)[0];

            si->nchain = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr)[1];

            si->bucket = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr + 8);

            si->chain = reinterpret_cast<uint32_t*>(base + d->d_un.d_ptr + 8 + si->nbucket * 4);

            break;

         case DT_SYMTAB:

            si->symtab = reinterpret_cast<ElfW(Sym)*>(base + d->d_un.d_ptr);

            break;

         case DT_STRTAB:

            si->strtab = reinterpret_cast<const char*>(base + d->d_un.d_ptr);

            break;

         // 以下为重定位信息

         case DT_JMPREL:

            si->plt_rel = reinterpret_cast<ElfW(Rel)*>(base + d->d_un.d_ptr);

            break;

         case DT_PLTRELSZ:

            si->plt_rel_count = d->d_un.d_val / sizeof(ElfW(Rel));

       

最低0.47元/天 解锁文章
御安全
关注
专栏目录
Android SO 加壳(加密)与脱壳思路
jltxgcy的专栏
08-14 2万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 中的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程中,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
UPX源码分析——加壳
chengman3837的博客
02-23 3971
0x00 前言 UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对E...
linux下最好用的upx加壳工具
12-23
upx是一个用的最多的加壳工具,有效的防止程序被人进行反编译破解 这个是linux 下32位
AndroidLinker与SO加壳技术
androidstar_cn的博客
11-29 874
1. 前言 Android 系统安全愈发重要,像传统pc安全的可执行文件加固一样,应用加固是Android系统安全中非常重要的一环。目前Android 应用加固可以分为dex加固和Native加固,Native 加固的保护对象为 Native 层的 SO 文件,使用加壳、反调试、混淆、VM 等手段增加SO文件的反编译难度。目前最主流的 SO 文件保护方案还是加壳技术, 在SO文件加壳
Android Linker详解
大数据安全技术学习
10-15 5058
Android Linker详解 Android Linker详解 本文目的 Linker入口 So的装载 总结 本文目的 Unidbg在对So进行模拟执行的时候,需要先将So文件加载到内存,配置So的进程映像,然后使用CPU模拟器(Unicorn、Dynamic等)对So进行模拟执行。本文的目的是为了彻底搞懂So文件是如何加载到内存的,以及加载进内存之后做了什么,史无巨细,握住方向盘 Linker入口 我们在Android程序中,往往会使用到JNI编程来加快某些算法的运行或增加APP的逆向难度。
linker截获API调用
08-06 1420
后文的方法未考证,感觉行不通,部分方法可以借鉴。 Android 的加载/链接器linker 主要用于实现共享库的加载与链接。它支持应用程序对库函数的隐式和显式调用。对于隐式调用,应用程序的编译与静态库大致相同,只是在静态链接的时候通过--dynamic-linker /system/bin/linker 指定动态链接器,(该信息将被存放在ELF文件的.interp节中,内核执行目标映像文件前将
Android Linker学习笔记
zhangmiaoping23的专栏
12-16 529
原文地址:http://drops.wooyun.org/tips/12122 0x00 知识预备 LinkerAndroid系统动态库so的加载器/链接器,要想轻松地理解Android linker的运行机制,我们需要先熟悉ELF的文件结构,再了解ELF文件的装入/启动,最后学习Linker的加载和启动原理。 鉴于ELF文件结构网上有很多资料,这里就不做累述了。 0x01 so的加载和启动 我们知道如果一个APP需要使用某一共享库so的话,它会在JAVA层声明代码: #!java S.
Android脱壳之整体脱壳原理与实践,今天带你详细了解各组件原理
m0_64604636的博客
12-12 1914
二.判断壳的类型: 判断App是不是加壳很简单,使用jadx打开Apk以后,查看App的四大组件类,如果组件类找不到实现,那么就是整体加壳了。 比如这里只能看到qihoo相关的壳代码,App的代码被隐藏了: 判断是不是函数抽取型壳就是看函数体是不是有意义的代码,比如下面就是一个抽取型壳,可以看到函数体都是nop指令: 判断是不是dex2C/VMP壳,就是要看是不是有Java方法被native化了,至于到底是dex2C还是VMP则需要更一步的判断,比如native函数注册地址是否相同: 三. 加壳
android linker加载和链接机制
最新发布
寻梦&之璐
07-13 1507
至此so文件的读取,加载工作就分析完毕了,我们可以发现,Android对so的加载操作只是以段为单位,跟section完全没有关系,另外,通过查看verifyElfheader的代码,我们还可以发现,android系统仅仅对ELF文件头的e_ident,e_type,e_version,e_machine进行验证(当然,e_phnum也是不能错的)所以,这就解释了为什么有些加壳so文件头的section相关字段可以任意修改,系统也不会报错了。首先是init_array节区的数据结构。
Android SO 加壳
03-14 4875
针对 SO 文件普遍存在的反编译、文件补丁、内存补丁、动态调试等恶意攻击行为,Virbox Protetor采用 SO 文件虚拟化等安全加固技术,全面保护 SO 文件安全,避免开发者因遭受应用破解、盗版等带来的安全风险,减少经济损失。 本地加密/无需上传APP/不限制 APP加密个数 》》 安卓 SO 保护 so 库指令级混淆、虚拟化 so 库完整性校验、文件加壳压缩 功能 指令级代码混淆、代码虚拟化、代码加密等多种方式保护代码逻辑 加密代码中使用的敏感字符串 校验程序内存完整性,防止...
简单粗暴的so加解密实现
xxmbaobao1的专栏
02-11 2638
原文链接:http://bbs.pediy.com/showthread.php?t=191649&highlight=apk 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平,本菜没有找到安卓平台一些具体实现思路,这些方法都是借鉴其他平台的实现思路和本菜的YY,肯定会有不少疏漏和错误之处,还
PLT、GOT ELF重定位流程新手入门(详细到爆炸)
Doub1's Blog
02-05 1562
如果你使用当前rip+0x2fe2你会得到一个错误的地址,因为x64下的RIP相对寻址需要跳过当前RIP,也就是其实是下一条指令的地址+0x2fe2。让它进行跳转,但是这样你就不会理解为什么汇编代码没有变跳转的地址却不同,新手兄弟们可以跟着我一步一步计算,我们首先看看这个jmp是。这就很奇怪了,网上的文章明明说这是索引,确实是这样,其实这里传入的是。我们注意一下.got.plt的地址,由于关闭了pie,我们可以看到地址了,是。是不是很好玩,此时存的内容就是它的下一条指令地址,看图。
基于linker实现so加壳技术
大数据安全技术学习
09-24 724
《基于linker实现so加壳技术基础》上 前言 本是一个追随技术的人照着网上为数不多的资料,在探索过程中发现了许多意想不到的问题,搜了好多文章发现对于这方面的记载很少,甚至连一个实现的蓝本都没找到,写下这文章希望能帮到像我一样对so壳感兴趣的伙伴在做实践的时候能有一个抓手,只有了解了加壳原理才能更好的脱壳,其实so文件在系统当中都对应了一个soinfo指针如果能找到soinfo指针那么脱掉so壳也不是不可能,如果有机会的话后面会出so脱壳相关的知识,其实最难的点在于如何找到当前so的soinfo指针
嵌入式Linux支持dlopen,《嵌入式Linux内存与性能详解》笔记3——动态库内存优化...
weixin_42490217的博客
05-06 863
一、前言在编程中,我们有时会使用到静态库和动态库,而静态库是链接到程序之中的,基本上静态库的优化与进程类似。但动态库是加载在内存空间中的,是在运行时链接的。它的优化方式比较不同,本文我们就简单地讲述一下动态库如何优化二、动态库对于 动态库 而言,它仅包括 2 个段:只读的代码段可修改的数据段。堆段 和 栈段 只有进程中才有。所以,如果你在动态库的函数里分配了一块内存,这段内存将被算在调用该函数的进...
linux so 加壳,[android] 从加壳的so文件中抽出symbols
weixin_39542936的博客
05-13 648
0x00 背景大家可能碰到过加壳的so文件,一般很轻松能从内存中dump出解密后的so文件,但是问题是dump出来的so文件里的symbol虽然都在,但是symbol所对应的函数地址都没有了,这样你dump出的so即使放在IDA中分析,看上去也是没有symbol的,难以分析。所以我做了一个可以把内存里的符号表也dump出来的小工具。0x01 原理原理很简单,一般加壳工具会利用init_array来...
android linker 浅析
gracioushe的专栏
06-19 1145
 android linker 浅析 收藏 http://blog.csdn.net/dinuliang/archive/2010/04/20/5509009.aspx   Android 的加载/链接器linker 主要用于实现共享库的加载与链接。它支持应用程序对库函数的隐式和显式调用。对于隐式调用,应用程序的编译与静态库大致相同,只是在静态链接的时候通过--dynamic-linker
android so hook原理,Android SO 加载分析与导入表Hook、导出表Hook
weixin_35715490的博客
05-27 633
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这pdf,http://download.csdn.net/d...
arm平台编译动态库报 relocation R_ARM_MOVW_ABS_NC 错误解决
热门推荐
阿然的专栏
11-21 2万+
编译一个能在 arm 平台上用的动态库,结果报错如下: relocation R_ARM_MOVW_ABS_NC against `a local symbol' can not be used when making a shared object; recompile with -fPIC ./obj/xxx.o: could not read symbols: Bad value collect2: error: ld returned 1 exit status 其实错误信息已经给出解决办法了,加
Android SO安全保护:自定义加载器加壳技术探讨
"Android SO加壳技术研究,文学路,郭燕慧,主要研究方向:移动安全,信息安全管理。本文提出了一套基于自定义加载器的SO加壳保护系统,实现对SO的内存加载和关键信息的隐藏,以增强动态分析的难度。" Android应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值