Android安全防御-ELF篇(简单总结)

最新推荐文章于 2024-04-25 00:03:40 发布
最新推荐文章于 2024-04-25 00:03:40 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: android安全

原帖地址:http://bbs.pediy.com/showthread.php?t=203611


由于近几年来移动应用变得火热,呈突发式激增。数据以及软件也面临各种安全挑战。软件保护,数据保护也成为了一个热门话题。今天就专门对Android移动软件中的ELF文件的保护进行简要说明。主要是针对ELF方面的保护进行框架描述。若以后有机会希望能整理成书,为大家提供精神食粮。

很多ELF的保护方案大部分是从windows PE文件的方案中继承下来的。总体上来说就是破坏调试以及增加调试的难度。

1.  序言

2.  ELF文件格式分析

3.  ELF常见HOOK方案及应用
a)  Inline hook
b)  GOT hook
c)  PRELOAD hook
d)  Linker重定位hook

4.  ELF若干种保护方案
a)  UPX壳及分析
b)  Shellcode保护方案
c)  链接器及加载器
d)  VMP

5.  ELF混淆方案
a)  花指令
b)  指令乱序,使用B衔接
c)  指令替换,替换为B指令
d)  指令索引并且乱序,使用索引表来跳转
e)  LLVM方式混淆

6.  ELF反调试
a)  捕捉信号
b)  检测tracerPID
c)  检测调试进程
d)  处理ELF格式,阻止IDA加载
e)  多进程守护
f)  CRC校验
g)  调试中断指令检测(类似x86 0xCC)

7.  ELF函数加密
a)  ELF入口加解密
b)  函数动态加解密,指令级加解密
c)     基于加载器的函数加解密

8.  总结

放个目录在这儿是想看看大家有何反应。看来大家大部分还是比较失望的。
都要求放样张,其实我这边还没开始写。只是有大量的资源。由于私密问题,还是无法跟大家分享。现在只是贴出一小块。

1. UPX解析
点击图片以查看大图图片名称: 1.jpg查看次数: 83文件大小: 55.3 KB文件 ID : 99780

2. VMP demo
点击图片以查看大图图片名称: 2.jpg查看次数: 80文件大小: 61.9 KB文件 ID : 99781

3. inline hook相关可以参考之前发的inline hook bug 修复

4.... 各种技术暂时保密 
beyond702
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
不混淆so文件_理解elf文件的got和plt
weixin_39621695的博客
01-13 443
本文为看雪论坛优秀文章看雪论坛作者ID:Heavenml在Linux平台下,elf文件中的got节和plt节在动态链接过程中起着非常重要的作用,学习got节和plt节是在学习elf文件格式过程中必不可少的一部分。所以在此笔记中,记录一下got节和plt节的原理。got(全局偏移表)got表是Linux平台用来解决对全局数据,外部函数引用的表,当在程序中引用外部的数据,函数时,通过got表...
XCTF-攻防世界CTF平台-Reverse逆向类——54、echo-server(Linux32位ELF文件、花指令混淆反汇编)
Onlyone_1314的博客
10-30 994
目录标题第一个花指令混淆080487C1:第二个花指令混淆080487F3:第三个花指令混淆08048816:第四个花指令混淆08048859:修改程序跳转逻辑方法1:方法2:题外话:   下载附件,查看信息:   是Linux下的32位ELF文件,运行程序:   发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序   用IDA打开,先查看字符串窗口:   有一些用到的字符串:   “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了:   就
vmp入门(一):android dex vmp还原和安全性论述
最新发布
q2919761440的博客
04-25 988
如果真的觉得可以就关注一下公众号吧。也不发图推广了。哦,对了,我这脚本配合人工半自动换,是可以做到一个函数一个函数还原的,我经过测试了,图,就不贴,怕人找,虽然目前没人找过。我随便找的其中的某个样本,发的照片,很多样本好像都差不多,都是这个逆向思路。
代码混淆不再愁:一掌握核心技巧
憧憬个人博客
11-22 241
指令替代将正常的二元运算指令(如加、减、异或等)替换为等效而复杂的指令序列,以达到混淆计算过程的目的。控制流平坦化指的是将正常控制流中基本块之间的跳转关系删除,用一个集中的分发块来调度基本块的执行顺序,下图为经过控制流平坦化的控制流图。指的是混淆程序的计算流程,或计算流程中使用的数据,使分析者难以分辨某一段代码所执行的具体计算。指的是混淆程序正常的控制流,使其在功能保持不变的情况下,使其不能清晰地反映原程序的正常逻辑。常见的混淆思路有:符号混淆、控制流混淆、计算混淆和虚拟机混淆。下图则对函数名进行了混淆。
ELF文件加密相关
xiziyunqi的博客
08-10 1678
[转载]简单粗暴的so加解密实现[原文]http://bbs.pediy.com/thread-191649.htm 一、概述 动态链接库能对抗逆向,由于IDA的存在,还需要对核心部分加密。.so加密有两种:1.无源码:类似可执行文件的加壳,需要对文件进行分析,在合适的地方插入解密代码2.有源码:可以构造解密代码并让解密过程在.so被加载时完成。 下文分析有源码的情况,包含对elf header
【移动安全基础】——19、elf文件变形与保护
Fly_鹏程万里
01-14 620
1. Section  段处理 鉴于 shdr 没有被 linker 用于加载,故可以对 Section 段写入无用数据,可以阻碍静态分 析软件的分析。 2. Program  段处理 Program 段中可以对 dynamic 区段进行混淆,添加重复和无效的数据。 3. Demo  演示混淆方法一: 将 elf header 中的 section 相关参数置 0 修改后 ida 的...
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
09-03
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
deepin-elf-sign-tool-1.1.10-1-amd64
08-10
deepin-elf-sign-tool_1.1.10-1_amd64
deepin-elf-verify-1.1.10-1-amd64 amd,intel,兆芯 UOS依赖包
08-10
deepin-elf-verify_1.1.10-1_amd64 amd,intel,兆芯 UOS依赖包
arm-elf与arm-linux的区别
08-19
arm-elf与arm-linux的区别 在基于ARM的嵌入式系统开发中,常常用到交叉编译的GCC工具链有两种:arm-linux-*和arm-elf-*,两者区别主要在于使用不同的C库文件。arm-linux-*使用GNU的Glibc,而arm-elf-*一般使用...
i686-elf-tools:i386-,i686-和x86_64-elf GCC,GDB和Binutils
05-22
i686-elf-tools 交叉编译i386-或i686-elf Win32工具链是一个非常复杂且痛苦的过程。 Binutils和GCC都无法正确说明构建它们所需的软件依赖程度,从而导致在编译过程中发出大量虚假和令人困惑的错误消息。 即使您确实...
oplzkwp:ELF混淆器
05-16
描述 oplzkwp是用于ELF模糊处理的库。 它使用PRESENT和blake244即时加密您的有效负载。 内存中仅解密当前执行的功能。 支持Linux(x86)和Android(ARM)。 如何 修改payload.c以适合您的需求。 限制条件: 以_e_开头的每个函数_e_将在运行时进行加密和解密。 使用decrypt_and_call(next)调用另一个_e_函数。 如果当前调用了该函数(例如,可重入),则必须执行常规调用。 每个功能都需要页面对齐。 (请参见payload.c和__attribute__((aligned(PAGE_SIZE)) )。 最终的可执行文件必须使用-fpie编译(如果使用提供的Makefile,这是默认设置)。 建造 Linux,使用make 。 Android,请使用make android (您必须具有ndk-build设置)。 可执行
Android SO文件保护OLLVM混淆加固——混淆(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
Android平台ELF文件格式简单介绍
douluo998的博客
03-30 651
命令输出的信息中包含“Section to Segment mapping”项数据,该项信息代表了section到segment的映射关键,例如:标号为2的Load段包含了: “.fini_array”、“.init_array”、“.dynamic”、 “.got”、“.data”、“.bss”六个节信息。上图中标为蓝色的数据为ELF文件头二进制内存数据,最右边可明显看出有“ELF”字符串,读者也许已猜到数据对应ELF文件标志,即判断是否为ELF文件表示。
ELF文件加固
Tesi1a的充电桩
07-27 2604
0x01 ELF文件介绍 APK里的.so文件即ELF文件(Executable and Linking Format)最初是由 UNIX 系统实验室(UNIX System Laboratories,USL)开发并发布的,作为应用程序二进制接口(Application Binary Interface,ABI)的一部分。工具接口标准(Tool Interface Standards,TIS)委...
一种简单ELF加固方法
weixin_30642029的博客
10-28 352
介绍一种ELF文件函数粒度的加固方法,可以有效防止对程序的静态分析。这是一种有源码加固方式,需要被加固程序中代码配合。加固流程如下:1)读取ELF文件头,获取e_phoff和e_phnum2)通过Elf64_Phdr中的p_type字段,找到DYNAMIC3)遍历.dynamic,找到.dynsym、.dynstr 节区偏移,和.dynstr节区的大小4)遍历.dynsym,找到函数对应的Elf6...
ANDROID 逆向专题》在android中运行 elf程序
lin___的博客
12-19 1308
我们已经知道,android的底层是linux。本质上,其实android就是一个经过特殊裁剪处理的linux系统,裁剪是为了让我们有限的移动端硬件能够更好地运行这个linux。 相对linux,很多人更加熟悉window。这里我们来做个对比。 windows linux 可执行文件 exe ...
Android 逆向】ELF 文件格式 ( ELF 文件简介 | ELF 文件结构 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-26 1611
一、ELF 文件简介、 二、ELF 文件结构
Android内置可执行ELF文件
qq_35993502的博客
06-16 1251
Android内置ELF可执行文件
如何安装iscv64-zephyr-elf-gdb
05-29
要安装 `iscv64-zephyr-elf-gdb`,您需要先安装 `riscv64-zephyr-elf` 工具链,因为 `iscv64-zephyr-elf-gdb` 是 `riscv64-zephyr-elf` 工具链的一部分。您可以按照以下步骤进行安装: 1. 下载 `riscv64-zephyr-elf` 工具链。您可以从以下链接下载最新版本:https://github.com/zephyrproject-rtos/meta-zephyr-sdk/releases。 2. 将下载的 `riscv64-zephyr-elf` 工具链解压到您的系统上。 3. 将解压后的 `riscv64-zephyr-elf` 工具链添加到您的系统路径中。例如,您可以将以下行添加到您的 shell 配置文件中(例如 `~/.bashrc`): ``` export PATH=/path/to/riscv64-zephyr-elf/bin:$PATH ``` 其中 `/path/to/riscv64-zephyr-elf` 是您解压后的 `riscv64-zephyr-elf` 工具链的路径。 4. 现在,您可以安装 `iscv64-zephyr-elf-gdb`。您可以使用以下命令: ``` sudo apt-get install iscv64-zephyr-elf-gdb ``` 或者,如果您不想使用系统包管理器,则可以从源代码构建 `iscv64-zephyr-elf-gdb`。您可以从以下链接下载源代码:https://github.com/riscv/riscv-gnu-toolchain。 解压源代码后,进入 `gdb` 目录并运行以下命令: ``` ./configure --target=iscv64-zephyr-elf make sudo make install ``` 这将构建并安装 `iscv64-zephyr-elf-gdb`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值