几维so文件加壳初步分析

最新推荐文章于 2024-06-24 08:18:34 发布
最新推荐文章于 2024-06-24 08:18:34 发布
阅读量4.1k 收藏 4
点赞数
分类专栏: android逆向安全 Android 代码保护与逆向 文章标签: jiwei protect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feibabeibei_beibei/article/details/83719026
版权

这是早期分析的一点点几维中的so文件加壳,没分析完,好像也现在很少看到他们用了,也没时间看,以下是之前分析的:

一、分析篇:

首先看到核心的函数全部变成了以下这种形式:

So加壳的话,首先定位到.init_proc这个导出函数中,去分析:

通过静态分析可知道:加固完以后几个So文件的主要功能如下:

libkwscr.so:主要是程序crash记录函数;

libkwscmm.so:加载so文件提供环境以及初始化,还有几维的SDK函数,对于程序crash报告记录;

libkwslinker.so:几维的自定义linker,也是核心的So文件;

libbug.so :应用级的So被几维加固处理过的So文件;

init_proc函数的主要功能如下:

从上面可以知道接下来主要是分析:kiwisec_13141688和kiwisec_13141688这两个函数,后面会详细的介绍。

 

 

KiwiSecLoader函数如下,主要是判断是Dalvik虚拟机还是ART虚拟机,然后创建java虚拟机执行环境。

进去看kiwisec_44这个函数:

接着进去分析ikiwiInit这个函数。

接着去分析看ikiwiCrashInit这个函数

接着去分析initAttacker这个函数,以下是攻击检测的分析的具体体现。

接着去分析libkwslinker.so中的kiwisec_1314168这个函数。

接着去分析sub_6138这个函数,函数的具体功能如下:

Sub_5F90这个函数的具体功能如下:

总的来说初步的分析kiwisec_1314168这个函数的主要作用是进行符号查找的一个过程.

我们知道在加载过程即可放在加载器的init_array 中,也可放入

JNI_OnLoad中,但是在libkwslinker.so的导出函数中没有发现JNI_Onload函数,因此很有可能是在.init_array处进行的,因此可以看到如下:

通过调用去分析这几个函数,很多的回归到到这个函数:

没有看出其实质性的作用:

由于在之前执行的时候都用到了其他的So文件因此,可以看一下其它几个So文件中.init_array中的相关内容。

首先是看libkwscmm.so的相关函数

从上面的大致分析,可以看到跟去分析处理应用函数没有关系。

接着看libkwscr.so中的.init_array的相关函数

接着进行分析。

 

 

不知世事
关注
专栏目录
简单粗暴的so加解密实现
xxmbaobao1的专栏
02-11 2640
原文链接:http://bbs.pediy.com/showthread.php?t=191649&highlight=apk 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平,本菜没有找到安卓平台一些具体实现思路,这些方法都是借鉴其他平台的实现思路和本菜的YY,肯定会有不少疏漏和错误之处,还
几维加固分析(学习加固版本)
zhangmiaoping23的专栏
02-15 1551
这篇帖子起因是前段时间想挂个协和的号,随便拿了个测试机下载好APP后打开卡在启动界面,以为是测试机root之类的东西被检测到后拒绝启动了。 于是准备看看怎么回事,发现这玩意儿使用了几维加固,正准备分析分析,突然发现测试机WiFi没连上,连上网之后就正常了,于是就把它丢在一边没管了。 然后过年在家闲着没事,想起还有这么个东西,正好几维加固以前没有遇到过,于是又在垃圾桶里把它翻出来了。 分析完后,实在是忍不住想吐槽一下,,不知道是不是外包公司没给钱,这加固做得就跟期末大作业水平差不多,全程就像读源码一样,
技术解读 - SO文件的安全,就交给这6大核心技术吧!
最新发布
dzqxwzoe的博客
06-24 1451
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
IDA带壳动态调试so分析协议算法
qq_34108752的博客
09-29 613
这种情况: 针对于 抓包分析时 加密不是那么复杂 但是有壳 加密都是在 so中进行的 java层没有进行加密 或者是 很弱的加密 能猜出来的那种 这种方法 运气成分比较大 但也不失为一种方法 首先找到 到lib文件夹里 找 可疑的so 例如有些名字有含义 能大概猜出来是干啥的 比如:libhttputils.so httputils 这含义看起来 就是对http里的 某些字段值 进行加...
unidbg 追踪 init_proc init_array
qq_36535153的博客
06-13 985
如果你想要追踪 init_proc、init_array 这些 SO 初始化函数的执行情况,那么就需要使用模块监听器,在模块加载的第一时间开始 trace。参考 https://t.zsxq.com/0fyWyFzZH。
惬意生活 几维智能家居组合.pdf
07-15
惬意生活 几维智能家居组合.pdf
怎么能知道nc文件几维数组
06-06
可以使用 `netCDF4` 库来查看 NetCDF 文件的维度信息。以下是一个简单的示例代码,用于打开 NetCDF 文件并输出其维度信息: ```python import netCDF4 # 打开 NetCDF 文件 nc_file = netCDF4.Dataset('file_path....
php 判断数组是几维数组
01-20
复制代码 代码如下:<?php/** * 返回数组的维度 * @param [type] $arr [description] * @... function aL($arr,&$al,$level=0){ if(is_array($arr)){ $level++; $al[] = $level; foreach($arr as $v){ 
PHP实现判断数组是一维、二维或几维的方法
10-20
在实际编程中,这个功能可以用于各种场景,比如数据验证、数组处理和数据分析。通过这个函数,我们可以确保我们的代码能正确处理任何维度的数组,提高程序的健壮性和可扩展性。同时,理解并掌握这种递归方法对于提升...
php判断几维数组
06-27
php判断一个数组是几维数组,一维二维多维一一判断
Android so加固简单脱壳代码
09-27
Android so加固的简单脱壳,也是Android ELF文件格式学习不可不学习的知识内容,想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。
12306之梆梆加固libsecexe.so的脱壳及修复
热门推荐
燕十二的BLOG
12-04 1万+
12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此so做一个脱壳的分析 (一)、so脱壳 此so的最先执行点在init_proc init_func负责对so进行解密 解密后,可以看到如下字符串 在IDA里找到相关的位置,可以看到如下代码: 解密函数即红框的位置。 hook该函数,让其打印出
在Android so文件的.init、.init_array上和JNI_OnLoad处下断点
luohai859的专栏
01-19 9243
移动端Android安全的发展,催生了各种Android加固的诞生,基于ELF文件的特性,很多的加固厂商在进行Android逆向的对抗的时,都会在Android的so文件中进行动态的对抗,对抗的点一般在so文件的.init段和JNI_OnLoad处。因此,我们在逆向分析各种厂商的加固so时,需要在so文件的.init段和JNI_OnLoad处下断点进行分析,过掉这些加固的so对抗。
AndroidInitProcess分析心得(1)
幻想世界
05-08 965
众所皆知,Android Init process是Android启动后最先起来的进程. 真正来说Android Init process是由Linux Kernel的启动程序所驱动起来. 从device上电, Bootloader加载Kernel, 然后Kernel接着驱动Android Init process. 这一段属于Linux 的范畴, 其简单的函数呼叫流程如下:   kernel
嵌入式Linux | proc文件系统详解
嵌入式大杂烩
11-21 1201
上一篇:《文件系统有很多,但这几个最为重要》介绍了procfs(进程文件系统的缩写),包含一个伪文件系统(启动时动态生成的...
linux so 加壳,[android] 从加壳的so文件中抽出symbols
weixin_39542936的博客
05-13 650
0x00 背景大家可能碰到过加壳的so文件,一般很轻松能从内存中dump出解密后的so文件,但是问题是dump出来的so文件里的symbol虽然都在,但是symbol所对应的函数地址都没有了,这样你dump出的so即使放在IDA中分析,看上去也是没有symbol的,难以分析。所以我做了一个可以把内存里的符号表也dump出来的小工具。0x01 原理原理很简单,一般加壳工具会利用init_array来...
android studio 引入第三方库出现couldn't find "*.so"解决方法
Navy的博客
05-07 5315
1.如果将第三方库放在src/main/jniLibs 路径下: 应该在build.gradle 中添加如下: sourceSets { main { jniLibs.srcDirs = ['src/main/jniLibs'] } } 2.如果将第三方库放在libs 路径下: 应该在b...
Android Apk加固厂商特征,Apk加固哪家强?
键盘的起始页
12-25 5532
一、Apk加固厂商特征(apk包含以下一个或多个文件) 爱加密 libexec.so, libexecmain.so,ijiami.dat 娜迦 libchaosvmp.so , libddog.solibfdog.so 梆梆 libsecexe.so, libsecmain.so 梆梆企业版 libDexHelper.so , libDexHelper-x86...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值