记录一次so修复

最新推荐文章于 2024-05-23 10:01:26 发布
最新推荐文章于 2024-05-23 10:01:26 发布
阅读量737 收藏 9
点赞数 9
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzheibai1/article/details/135918938
版权

        样本为 某60 的 libjiagu_a64.so。

        先用ida打开发现 导入表 和 导出表 都是空的,如下图:

ida识别出来的方法名也都是这样的:

用010editer打开看一下文件结构。

一看节就不对劲,并且没有符号表。

那既然这里都有问题,elf header肯的也是伪造的了。

先看一下这个so的elf header的内容。

 第一行没什么有用的信息,第二行看到程序入口点是0x2A70。

第三行section table header偏移是11A1F0。

第四行003A知道每个section大小是0x40,一共有6个section,0x003F知道最后一个section是.shstrtab。

先看看假的.shstrtab

很明显这个指向data数据是不对的,并且位于文件尾部属于section table的位置,

先把这16个字节删掉,然后在文件中找到正确的section_name 如下:

可以看到真正的.shstrtab的地址是 0x119B15 。

        同时这个正确的.shstrtab结尾 0x119BDD 就是section header table的开头,不过是否是真的先保持怀疑。        

        先计算一下一共有多少个section:0x11A35F - 0x119BDD = 0x782

        在除以efl头中描述的每一个section大小0x40。

        0x782 / 0x40 转为十进制相除 1922 / 64 = 30.03125

        发现除不尽有余数,那么0x119BDD也不是正确的section table header起始位置。

        那么 64 * 30 = 1920 (0x780) 就是真正段的大小。        

        所以修改一下elf header

        section table header 偏移改为 0x119BDD

        每个section table的大小改为1E

        .shstrtab改为1D

        保存刷新。显示如下:

       最后一步,根据最开始的信息修改.shstrtab。

        将s_offset修改为正确的地址:0x119B15

        将s_size 修改为所选正确数据区域大小: 200 也就 0xC8

        在上面改和下面改是一样的,下面改方便一点但是要注意进制转换。

        保存刷新重新读取:

最最最最后一步,去掉下面多余的,把真正的.shstrtab 下标为23的 和 section table的数量在elf header中修改。

00 00 00 00 40 00 38 00 06 00 40 00 1E 00 1D 00

改为

00 00 00 00 40 00 38 00 06 00 40 00 18 00 17 00

拖到ida里查看一下:

也都可以正常查看了。 

lzheibai1
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELF头文件学习
steve_wchunxing的专栏
11-19 2334
ELF文件原名Executable and Linking Format,译为“可执行可连接格式”
Android so库文件的区节section修复代码分析
Fly20141201. 的专栏
12-16 7324
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78818917 一、Android so库文件的节表secion修复方案整理             1. 简单粗暴的so加解密实现               https://bbs.pediy.com/thread-191649.htm          
推荐开源项目:Android So文件浏览修复工具
最新发布
gitblog_00067的博客
05-23 298
推荐开源项目:Android So文件浏览修复工具 项目地址:https://gitcode.com/freakishfox/xAnSo 项目介绍 在Android开发的世界里,So文件(动态链接库)扮演着至关重要的角色,它们包含了设备运行时所需的原生代码。然而,处理和修复损坏或缺失信息的So文件并不是一项简单的任务。这就是我们要向您推荐的开源项目——一个专为Android设计的So文件浏览和修复...
xAnSo:Android So文件浏览修复工具
05-09
Android So文件浏览修复工具 项目为什么选择C++ 一开始整个项目是用Python写的, 考虑到Python上有很多成熟的库可以直接使用,代码写起来会比较方便,但是真的开始往下写的时候发现,光是各种类型定义就要耗费很多的精力,并且很多逻辑就是从Android的源码中进行代码精简来的, 这个时候直接借鉴Android源码比再翻译成Python要快得多 项目原则 代码风格尽量遵循google style代码风格 Android系统源码中可以借鉴的代码,尽量直接借鉴 Core中核心代码要做到平台无关性 So文件浏览 显示Elf 头 显示Program 头 显示Section头 So文件修复 完全无Section信息修复
so文件混淆与修复
tutucoo
03-11 7039
一、对section header进行混淆 由于linker不会对section header进行加载,所以对section header进行改动,不会影响so文件正常加载到内存,因此有些程序对section header进行了混淆,导致IDA无法正常进行静态分析。 混淆方法: 1.将section header table中的addr、offsize等字段值清0,如果清空的是dynsym段,就...
GG内存dump so 以及修复
日常技术分享
06-11 2717
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输出至文件中将文件pull到电脑中查看在文件中找到so内存地址。
修复动态链接库.so的导入表
qq_41924435的博客
01-11 369
#ifndef _QEMU_ELF_H #define _QEMU_ELF_H #include <inttypes.h> /* 32-bit ELF base types. */ typedef uint32_t Elf32_Addr; typedef uint16_t Elf32_Ha
libz.so.1 libz.so.1
05-31
如果是符号链接,它可能指向实际的库文件,例如“libz.so.1.2.11”(这里的数字表示次版本和修订版本号)。 ZLib库的使用涉及到以下几个关键知识点: 1. **动态链接**:Linux下的程序并不包含所有依赖库的代码,...
dx修复工具
01-15
本程序有自动记录日志功能,可以记录一次检测修复结果,方便在出现问题时, 及时分析和查找原因,以便找到解决办法。 程序的“选项”对话框中包含了6项高级功能。点击其中的“注册系统文件夹中所有dll文件” ...
just so so
03-30
- **Windows 7**:文档多次提到了对Windows 7系统的支持和优化,例如修复了一些在Win7下的显示问题,并且增加了对新系统的兼容性。 - **其他系统**:包括Vista、Win2003 SP1等,说明这款软件具有较好的跨平台能力。 ...
Android/Linux 32位elf自动修复工具
07-12
对畸形的32位elf文件进行自动修复 cmd fix32elf xxxx.so 目录下生成 fixed.so
Android so加固混淆源码
01-11
Android so加固基础混淆源码,用于初学者开始的学习了解
电话交换机软件
03-08
申瓯SOT600K系统软件集成了电话计费程序,能够精确记录通话时长,帮助企业进行通信费用管理,防止浪费,并支持生成详细的通话记录报告,便于审计和分析。 “sot600k”标签表明这款软件是专为申瓯SOT600K交换机定制...
一篇很酷的入侵分析报告
07-28
这篇入侵分析报告主要展示了对一次针对Red Hat Linux系统入侵事件的详细调查过程。报告的核心内容可以分为以下几个知识点: 1. **入侵检测**:通过检查系统文件的修改时间,报告作者发现了异常,即`/etc/rc.d/init....
简单SO加密ELF头文件修复
Slipper的专栏
04-27 5523
Android(一):简单SO加密ELF头文件修复 为了对抗IDA等逆向工具对SO进行逆向,一个简单的方法就是对ELF头文件信息进行修改,使IDA等工具解析出错,从而达到对抗的目的。本文所用到的资源文件都会提供下载,有什么写得不好的地方,请指正,谢谢。 一,ELF文件结构 由上图可知ELF有两种视图,当我们应用在执行的时候采用的是执行视图,看图可知,节区头部表是可选的,可选的意思就是存在与不存
ELF section修复的一些思
键盘的起始页
07-10 690
终于抽出时间整理了。。。 限于本菜水平有限,难免会有很多错误和不足之处,请各位大牛指正,小弟感激不尽。 ------------------------------------------------------------------------------------------- 一、 概述 相信各位读者对so分析都采用静态和动态相结合的方式,静态分析常用readelf、objdump、ida等工具,这些工具对so文件的分析都会使用到Section信息。从这篇帖子中http://bbs....
ELF section修复的一些思考
ThomasKing2014的专栏
10-01 2080
原帖:http://bbs.pediy.com/showthread.php?t=192874
360加固之libjiagu.so脱壳及dex dump
热门推荐
燕十二的BLOG
11-17 2万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
libcrypto.so 损坏怎么进行修复
06-10
如果 libcrypto.so 损坏,可以尝试按照以下步骤进行修复: 1. 检查系统是否安装了 openssl 包。如果没有,可以使用以下命令安装: ``` sudo apt-get install openssl ``` 2. 如果已经安装了 openssl 包,可以尝试重新安装该包来修复损坏的 libcrypto.so。使用以下命令: ``` sudo apt-get install --reinstall openssl ``` 3. 如果重新安装 openssl 包无法解决问题,可以尝试更新系统并重新安装 openssl 包。使用以下命令: ``` sudo apt-get update sudo apt-get install --reinstall openssl ``` 4. 如果仍然无法修复 libcrypto.so,可以尝试手动安装 libcrypto.so。首先下载 openssl 的源代码,然后编译和安装 openssl: ``` wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz tar -zxvf openssl-1.1.1g.tar.gz cd openssl-1.1.1g ./config make sudo make install ``` 以上是一些可能有用的步骤来修复损坏的 libcrypto.so。但是,请注意,这些步骤可能因操作系统版本和其他因素而有所不同。建议在进行任何更改之前备份系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值