对抗静态分析——so文件的加密

最新推荐文章于 2024-07-26 01:17:38 发布
最新推荐文章于 2024-07-26 01:17:38 发布
阅读量250 收藏
点赞数
文章标签: 面试
原文链接:http://www.cnblogs.com/ichunqiu/p/5999799.html
版权

【预备起~~~】
最近在忙找工作的事情,笔试~面试~笔试~面试。。。很久没有写(pian)文(gao)章(fei)。忙了一阵子之后,终于~~~到了选offer的阶段(你家公司不是牛吗,老子不接你家offer,哈哈哈哈~~~),可以喘(出)口(口)气(恶)了(气)。。。来来来,继续讨论一下抗静态分析的问题,这回要说的是如何对so文件进行加密。


【一二三四】
so文件的作用不明觉厉~~~不对是不言而喻。各大厂商的加固方案都会选择将加固的代码放到native层,主要因为native层的逆向分析的难度更大,而且代码执行效率高,对性能影响小。但是总有些大牛,对这些方法是无感的,为了加大难度,这些厂商更加丧心病狂的对so文件进行加固,比如代码膨胀、ELF文件格式破坏、字节码加密等等。这篇文章就是主要讲简单粗暴的加密,来窥探一下这当中的原理。


首先,我们都知道so文件本质上也是一种ELF文件,ELF的文件头如下

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
#define EI_NIDENT 16
typedef struct elf32_hdr{
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  unsigned char e_ident[EI_NIDENT];
  Elf32_Half e_type;
  Elf32_Half e_machine;
  Elf32_Word e_version;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Addr e_entry;
  Elf32_Off e_phoff;
  Elf32_Off e_shoff;
  Elf32_Word e_flags;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Half e_ehsize;
  Elf32_Half e_phentsize;
  Elf32_Half e_phnum;
  Elf32_Half e_shentsize;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Half e_shnum;
  Elf32_Half e_shstrndx;
} Elf32_Ehdr;


详细的就不说了,简单看下,开始的16字节是ELF文件魔数,然后是一些文件信息硬件、版本之类的,重点在几个变量
e_phoff、e_shoff、e_phentsize、e_phnum、e_shentsize、e_shnum、e_shstrndx
要知道这几个变量的含义首先要清楚,ELF文件的结构在链接时和执行时是不同的
<ignore_js_op> 
一般情况下(也就是我们看到的情况),ELF文件内部分为多个section,每个section保存不同的信息,比如.shstrtab保存段信息的字符串,.text装载可执行代码等等。这些不同的section根据不同的内容和作用会有不同的读写和执行权限,但是这些section的权限是没有规律的,比如第一个section的权限是只读,第二个是读写、第三个又是只读。如果在内存当中直接以这种形式存在,那么文件在执行的时候会造成权限控制难度加大,导致不必要的消耗。所以当我们将so文件链接到内存中时,存在的不是section,而是segment,每个segment可以看作是相同权限的section的集合。也就是说在内存当中一个segment对应N个section(N>=0),而这些section和segment的信息都会被保存在文件中。
理解了这个,再看那几个变量。e_phoff是segment头部偏移的位置,e_phentsize是segment头部的大小,e_phnum指segment头部的个数(每个segment都有一个头部,这些头部是连续放在一起的,头部中有变量指向这些segment的具体内容)。同样e_shoff、e_shentsize、e_shnum分别表示section的头部偏移、头部大小、头部数量。最后一个e_shstrndx有点难理解。ELF文件中的每个section都是有名字的,比如.data、.text、.rodata,每个名字都是一个字符串,既然是字符串就需要一个字符串池来保存,而这个字符串池也是一个section,或者说准备一个section用来维护一个字符串池,这个字符串池保存了其他section以及它自己的名字。这个特殊的section叫做.shstrtab。由于这个section很特殊,所以把它单独标出来。我们也说了,所有section的头部是连续存放在一起的,类似一个数组,e_shstrndx变量是.shstrtab在这个数组中的下标。(希望我解释清楚了~~~)
segment头部结构

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
typedef struct elf32_phdr{
  Elf32_Word p_type;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Off p_offset;
  Elf32_Addr p_vaddr;
  Elf32_Addr p_paddr;
  Elf32_Word p_filesz;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Word p_memsz;
  Elf32_Word p_flags;
  Elf32_Word p_align;
} Elf32_Phdr;


section头部结构

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
typedef struct elf32_shdr {
  Elf32_Word sh_name;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Word sh_type;
  Elf32_Word sh_flags;
  Elf32_Addr sh_addr;
  Elf32_Off sh_offset;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Word sh_size;
  Elf32_Word sh_link;
  Elf32_Word sh_info;
  Elf32_Word sh_addralign;
/* WARNING: DO NOT EDIT, AUTO-GENERATED CODE - SEE TOP FOR INSTRUCTIONS */
  Elf32_Word sh_entsize;
} Elf32_Shdr;


注意这里都是32位的。。。


在代码当中segment的命名是program,所以segment和program指的是同一个东西
Program header位于ELF header后面,Section Header位于ELF文件的尾部。那可以推出:
e_phoff = sizeof(e_ehsize);
整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1


这里多讲一点与加密没有关系的知识。我们知道了在内存当中只有segment而没有section,那么如果section结构被破坏了,ELF文件是不是还能正常执行?答案:是
如何证明大家可以自己去寻找答案,这里不多说。但是由于这样,所以经常会破坏文件的section结构,让比如IDA、readelf等工具失效,这也是so加固的一种方式。


回到正题,我们继续说加密。加密的流程我们设想一下,可以是这样 解析ELF——>找到字节码——>对字节码加密
解密就是 解析ELF——>找到字节码——>对字节码解密
详细一点就是通过偏移、个数等信息找到section的头部,然后看是不是我们要找的section(通过名字)。找到后通过sh_offset(偏移)和sh_size(大小),就找到这个section的内容,整体加密。


【二二三四】
下面看加密的代码

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
fd = open(argv[1], O_RDWR);        //打开文件
if (fd < 0){
   printf ( "open %s failed\n" , argv[1]);
   goto _error;
}
 
if (read(fd, &ehdr, sizeof (Elf32_Ehdr)) != sizeof (Elf32_Ehdr)){        //读取头部,验证文件是否正确
   puts ( "Read ELF header error" );
   goto _error;
}
 
lseek(fd, ehdr.e_shoff + sizeof (Elf32_Shdr) * ehdr.e_shstrndx, SEEK_SET); //移动到shstrtab的头部
 
if (read(fd, &shdr, sizeof (Elf32_Shdr)) != sizeof (Elf32_Shdr)){ //读取shstrtab头部
   puts ( "Read ELF section string table error" );
   goto _error;
}
 
if ((shstr = ( char *) malloc (shdr.sh_size)) == NULL){ //开辟内存区域,这个用于保存shstrtab的字符串池
   puts ( "Malloc space for section string table failed" );
   goto _error;
}
 
lseek(fd, shdr.sh_offset, SEEK_SET);                //移动到shstrtab的字符串池
if (read(fd, shstr, shdr.sh_size) != shdr.sh_size){ //读取字符串池
   puts ( "Read string table failed" );
   goto _error;
}
 
lseek(fd, ehdr.e_shoff, SEEK_SET);                //移动到section头部数组的起始位置
for (i = 0; i < ehdr.e_shnum; i++){                //遍历section的头部
   if (read(fd, &shdr, sizeof (Elf32_Shdr)) != sizeof (Elf32_Shdr)){
     puts ( "Find section .text procedure failed" );
     goto _error;
   }
   if ( strcmp (shstr + shdr.sh_name, target_section) == 0){ //找到目标section
     base = shdr.sh_offset;
     length = shdr.sh_size;
     printf ( "Find section %s\n" , target_section);
     break ;
   }
}


这一段是从打开文件到找到制定section的代码,我们为了减小实验难度,不会对一些重要的section加密(可能被玩坏),我们自己新建一个section,新建的方法之后说,所以这里的字符串target_section就是我们自己定义的section的名字。


[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
lseek(fd, base, SEEK_SET);                //移动到目标section的内容上
content = ( char *) malloc (length);
if (content == NULL){
   puts ( "Malloc space for content failed" );
   goto _error;
}
if (read(fd, content, length) != length){ //读取出来
   puts ( "Read section .text failed" );
   goto _error;
}
 
nblock = length / block_size;
nsize = base / 4096 + (base % 4096 == 0 ? 0 : 1);
printf ( "base = %d, length = %d\n" , base, length);
printf ( "nblock = %d, nsize = %d\n" , nblock, nsize);
 
ehdr.e_entry = (length << 16) + nsize; //将sh_size和addr写到e_entry,简化解密流程
ehdr.e_shoff = base;
 
 
 
for (i=0;i<length;i++){
   content[/size][i][size=4] = ~content[/size][i][size=4]; //整体异或
}
 
 
 
lseek(fd, 0, SEEK_SET);
if (write(fd, &ehdr, sizeof (Elf32_Ehdr)) != sizeof (Elf32_Ehdr)){ //将头部写回
   puts ( "Write ELFhead to .so failed" );
   goto _error;
}
 
 
lseek(fd, base, SEEK_SET);
if (write(fd, content, length) != length){ //将内容写回
   puts ( "Write modified content to .so failed" );
   goto _error;
}


找到之后就修改加密了,完成后写回。这个so就加密完成了。

【三二三四】
下面我们来看解密代码,首先先看两个函数申明

[C]  纯文本查看 复制代码
?
1
2
void printLog() __attribute__((section( ".newsec" )));
void init_printLog() __attribute__((constructor));


这两个函数之后都有__attribute__,这是GCC的编译选项,用于设定函数属性。__attribute__((section(".newsec")))的意思就是说这个函数将被放到.newsec这个section中,我们前面所说的自己新建section就是这样实现的。。。那么printLog这个函数就是.newsec的唯一内容。
下面一个是解密函数,constructor属性可以让代码在main之前执行,保证在比较早的时间点执行解密函数,不影响后续的代码。

[C]  纯文本查看 复制代码
?
1
2
3
4
void printLog()
{
   ALOGD( "this is a log" );
}


printLog代码很简单

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
void init_printLog()
{
   char name[15];
   unsigned int nblock;
   unsigned int nsize;
   unsigned long base;
   unsigned long text_addr;
   unsigned int i;
   Elf32_Ehdr *ehdr;
   Elf32_Shdr *shdr;
 
   base = getLibAddr();
 
   ehdr = (Elf32_Ehdr *)base;
   text_addr = ehdr->e_shoff + base;
 
   nblock = ehdr->e_entry >> 16;
   nsize = ehdr->e_entry & 0xffff;
 
   printf ( "nblock = %d\n" , nblock);
 
   if (mprotect(( void *) base, 4096 * nsize, PROT_READ | PROT_EXEC | PROT_WRITE) != 0){
     puts ( "mem privilege change failed" );
   }
 
   for (i=0;i< nblock; i++){
     char *addr = ( char *)(text_addr + i);
     *addr = ~(*addr);
   }
 
   if (mprotect(( void *) base, 4096 * nsize, PROT_READ | PROT_EXEC) != 0){
     puts ( "mem privilege change failed" );
   }
   puts ( "Decrypt success" );
}


解密过程,大多数差不多,需要注意两个地方一个是getLibAddr,用于获得内存中so的位置

[C]  纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
unsigned long getLibAddr(){
   unsigned long ret = 0;
   char name[] = "libdexloader.so" ;
   char buf[4096], *temp;
   int pid;
   FILE *fp;
   pid = getpid();
   sprintf (buf, "/proc/%d/maps" , pid);
   fp = fopen (buf, "r" );
   if (fp == NULL)
   {
     puts ( "open failed" );
     goto _error;
   }
   while ( fgets (buf, sizeof (buf), fp)){
     if ( strstr (buf, name)){
       temp = strtok (buf, "-" );
       ret = strtoul (temp, NULL, 16);
       break ;
     }
   }
_error:
   fclose (fp);
   return ret;
}


还有个是mprotect
这个函数用于修改内存页的权限,如果不修改,用户对于内存页的权限只有read,你是无法对内存中的数据进行修改的。这个和之前我们所说的segment的权限不一样,要注意区分。


【再来一次】
这种单独建一个section的方法简单粗暴易懂,但是只要解析一下就会知道多了一个section。所以实际上往往都是对固定的section进行加密解密,要注意的是这些section中有重要的信息,不能乱来,所以难度会大很多。大家有兴趣自己实现以下。
就酱~~~

转载于:https://www.cnblogs.com/ichunqiu/p/5999799.html

dfdhxb995397
关注
ELF文件解析:探索Linux二进制文件的奥秘
XyScala的博客
10-05 147
ELF文件包含了程序的二进制代码、数据、符号表以及其他与执行相关的信息。从文件头信息、节头表、程序头表、符号表,到机器代码的反汇编,这些命令提供了丰富的信息,帮助我们理解和分析二进制文件。通过使用readelf、objdump和nm等命令,你可以进一步探索ELF文件的"秘密",并加深对Linux二进制文件的理解。objdump命令是另一个有用的工具,用于反汇编ELF文件的机器代码。nm命令用于显示ELF文件的符号表信息。readelf命令是一个功能强大的工具,可用于解析ELF文件的各个部分。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3182
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
IDA Crack so文件
FlowLiver
07-11 627
1.让IDA载入so文件 由于我们要找的函数是getMd5Sign() 所以直接索索"getMd5Sign" 点进第一个 按一下空格键,查看逻辑视图 读图分析可知,做分支为检查失败路径,又分支为成功路径 红色框圈起来的就是跳转的关键 按F5 看看伪C代码 >可以看到通过strcmp函数来进行当前apk的签名和已知签名进行比对 然后将比较后的值赋值给v7 再利用v7的值进行控制流程 点击下图位置回到汇编指令 我们只需要将CBZ 改为CBNZ即可 >选中CBZ
Android SO文件保护加固——加密篇(二)
热门推荐
雪一梦的博客
09-23 1万+
已经很长一段时间没更新了,一方面本人技术一般,不知道能给技术网友分享点什么有价值的东西,一方面,有时候实验室事比较多,时间长了就分享的意识就单薄了,今天接着前面那个so文件重要函数段加密,接着更,接下来开始书写。 一、原理篇       在很多时候我们对一个.so文件中重要的函数段加密时,是无法拿到源码的,当然并不排除可能在以后随着Android开发与安全结合,出现逆向开发者,在开发的时候就进
加密与解密:IDA
weixin_49777720的博客
03-11 916
反汇编窗口 导航栏 字符串窗口 输入窗口:可执行文件调用的所有函数。 参考重命名 标签:Jump -> Mark position 创建函数:Edit->Functions->Creat Function 代码数据转换:Edit->Code Edit->Undefine 字符串 数组 结构体 添加结构体的方式。 按D键添加成员。alt+q键修改结构体类型,n修改名字。 修改汇编代码。 IDA动态调试 用Local Windows debugger调试
so文件函数的加密和界面学习笔记
jackzhouyu的专栏
12-12 1558
SO文件中函数的加密和解密简介原理上来说,找到so文件函数的位置,对其二进制进行一定加密操作后即加密了,解密也是一样,找到函数的位置,对其二进制进行一定的解密操作即可,只不过前者是通过so文件格式,按照一定的索引一步一步找到函数位置;后者是在其运 行时,通过/proc/pid号/maps文件,找到so文件映射的内存虚拟地址,在根据so文件格式的索引一步一步找到函数位置,再进行解密工作;首先,从se
【步兵 cocos2dx】加密和混淆
博客 by EOS.
05-29 4116
正值端午佳节,大家都吃粽子了么=、= 开始秀公司福利了么? 秀吧,反正我是 我只服公务员和老师,为什么? 分楼啊QAQ 这事一个悲伤的话题。代码加密主要以lua代码为例,js还没怎么用过,并不熟悉。 lua的代码,有两种状态:明文的lua文件和二进制的luac文件。 luac文件即用luajit编译后的文件,不但起到了加密的作用而且还有性能上的大福提升。
【AI大模型企业级应用开发实战】企业级应用集成AI大模型的架构,包括大模型概述、集成实践、技术架构设计及应用场景《AI大模型应用架构(ALLMA)白皮书》
AI天才研究院
06-30 9698
随着大模型浪潮的兴起,生产力将发生质的变化,从而引发生产力和生产关系的重塑。随着模型能力的提升和使用成本的降低,基于大模型构建应用将成为主流趋势。然而,应用层能否与大模型高效交互,将成为产品方案探索效率和效果的关键因素。因此,在模型之上的工程架构中,必须构建一套完整的大模型交互管道(Interface),将应用层(Application) 和模型层(Model)进行串联,为诸如Prompt Engineering、Fine-Tuning和模型评估等关键环节提供全面支持,以实现产品方案探索的降本增效 ....
CHES 2021 issue-4文章总结
最新发布
dedanddwb的博客
07-26 385
来源:https://ches.iacr.org/2021/acceptedpapers.php。
利用AI+大数据的方式分析恶意样本(四)
至臻求学,胸怀云月
03-23 2922
文章目录系列文章目录本文主旨分析windows程序的必备知识恶意代码功能下载器和启动器后门登陆凭证窃取存活机制提权隐藏踪迹——用户态的Rootkit环境配置预备知识节点和边二分网络网络可视化使用NetworkX构建网络使用GraphViz可视化进阶操作添加属性GraphViz使用参数调整网络构建恶意软件回连服务器网络编码如下效果图构建恶意软件共享图像关系网络编码如下效果图小结 系列文章目录 《基...
so加固例子--加密函数
11-21
so加固例子--加密函数
破解我吧:一次ELF文件的解构之旅
fisher_jiang的专栏
09-17 6435
ZZ 黑客志  http://heikezhi.com/2011/09/15/hackme-deconstructing-an-elf-file/ 一个朋友最近发给我一个他编写的据称很难破解的程序,让我找出它的密码,经过几个小时的Hacking,我顺利找到了密码,并且在这个过
Shell脚本------解析elf文件及awk基本使用
奔跑的蜗牛
12-05 3376
1.读elf文件 arm-eabi-nm *.elf 2.awk字符判断 及 if语句 运算符 描述 赋值运算符 = += -= *= /= %= ^= **= 赋值语句 逻辑运算符 || 逻辑或 && 逻辑与 正则运算符
【Android 逆向】IDA 安装 ( 使用 IDA 分析 so 动态库 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-07 3505
一、IDA 安装、 二、使用 IDA 分析 so 动态库、
简单粗暴的so加解密实现
xxmbaobao1的专栏
02-11 2662
原文链接:http://bbs.pediy.com/showthread.php?t=191649&highlight=apk 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平,本菜没有找到安卓平台一些具体实现思路,这些方法都是借鉴其他平台的实现思路和本菜的YY,肯定会有不少疏漏和错误之处,还
Elf二进制文件解析
qq_42931917的博客
12-18 2685
Elf文件解析 ELF头部结构 ELF文件头从文件的0偏移量开始,是除了文件头剩余部分文件的一个映射。 typedef struct { unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */ Elf64_Half e_type; /* Object file type */ Elf64_Half e_machine; /* A
linux elf文件 破解,20135337——Linux实践三:ELF文件格式(64位系统,简单分析)...
weixin_33140481的博客
04-30 493
ELF文件格式简单分析(具体分析见上一篇ELF文件格式32位系统)ELF-header第一行:457f 464c :魔数;0201 :64位系统,小端法01 :文件头版本剩余默认0;第二行:0001 :重定位文件003e :x86-64处理器体系结构0000 0001 :当前版本0000 0000 0000 0000 :没有入口点第三行:0000 0000 0000 0000 :没有程序头表000...
深入分析SO文件中section加密加固案例
4. 测试加固效果:在加固完成后,通过各种测试手段(包括静态分析、动态调试、压力测试等)验证加固的效果,确保加密后的so文件既安全又稳定。 ### 知识点6:加固so文件的潜在挑战 加固so文件虽然能提高安全性,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值