逆向 - 恢复符号表

最新推荐文章于 2023-11-09 16:13:04 发布
最新推荐文章于 2023-11-09 16:13:04 发布
阅读量3k 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27074387/article/details/85762282
版权

获取符号表偏移前的地址

  1. 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试中查看代码的函数调用栈时符号偏移前的地址
    = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其中 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb中通过image list -o
    -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址:image list -o -f | grep QQ

恢复符号表

  1. 克隆第三方库: git clone https://github.com/tobefuturer/restore-symbol
  2. 到库目录里: cd restore-symbol
  3. 编译成功后会在当前目录生成一个 restore-symbol 可执行文件 : make
  4. 在macOS终端运行(设置为全局命令): sudo cp ./restore-symbol /usr/local/bin
  5. cd 到砸壳去签名后文件的目录
  6. lipo -info WeChat.decrypted 查看是否是fat的文件,如果是fat的文件,那么看 7
  7. fat文件瘦身:lipo WeChat.decrypted -thin arm64 -output
    WeChat.decrypted.arm64
  8. 获取符号表:restore-symbol WeChat.decrypted.arm64 -o WeChat.symbol
  9. 文件 WeChat.symbol 是我们恢复符号表的文件,如果是瘦身回来的直接使用瘦身的,不用合并
  10. WeChat.app 是微信的原包文件,替换掉原先的M
最低0.47元/天 解锁文章
iOS逆向学习四:符号表还原
sharon
09-15 1556
本文的部分理论支持,节选自这里:iOS符号表恢复。 前言 符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前要裁去符号表,以避免被逆向分析。 这些可以通过配置xcode的编译选项来达到效果。具体操作请看这:Xcode中和symbols有关的几个设置。 Xcode显示调用堆栈中符号时,只会显示符号表中有的符号。为了我们调试过程的顺利,我们有必要把可执行文件中的符号表恢复回来。 先来看一眼无符...
arm ida 伪代码 安卓 符号表_iOS符号表恢复&逆向支付宝
weixin_32427471的博客
01-26 443
推荐序本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的***,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star 和...
ida修复函数名
qq_26394845的博客
09-21 779
ida修复函数名。
iOS 符号表恢复 & 逆向支付宝
weixin_34415923的博客
08-30 278
推荐序 本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的最后,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。 本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star ...
iOS符号表恢复&逆向支付宝
02-25
本文介绍了恢复符号表的技巧,并且利用该技巧实现了在Xcode中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的最后,作者以支付宝为例,展示出通过在UIAlertView的show方法处下断点,从而获得支付宝的调用栈的过程。本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎Star和提Issue。感谢作者授权发表。作者介绍:杨君,中山大学计算机系研究生,iOS开发者,擅长领域iOS安全和逆向工程,个人博客:http://blog.imjun.net。符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前
逆向——IDA制作符号文件
cszrydn的专栏
05-26 903
1、环境变量添加:pcf.exe、sigmake.exe和link.exe的路径 pcf和sigmake如果没有从ida安装目录找到,需要下载。可以从这里下载 链接:https://pan.baidu.com/s/1omfjlTW7uKoX_Ze50O7uhg 提取码:4ky8 下载的文件也包含link.exe 将文件目录添加到环境变量 2、批处理文件:lib2sig.bat md %1_objs copy %1.lib %1_objs\%1.lib cd %1_objs for
iOS恢复符号表逆向支付宝
03-29
值得一提的是,本文所提到的恢复符号表的方法和技术并非仅限于支付宝这一特定应用,而是适用于所有strip过的iOS应用程序。这也意味着,任何经过类似处理的应用都可以通过这种技术手段进行逆向分析。 总结来说,iOS...
iOS应用符号表恢复逆向支付宝调试技巧
2. **恢复符号表的必要性**:为了进行有效的动态分析,例如在Xcode中使用lldb调试器,需要恢复符号表以显示清晰的调用堆栈。 3. **Mach-O文件结构**:Mach-O文件是iOS应用的二进制格式,其中的__LINKEDIT段包含符号...
Android studio打包so动态链接库没有符号表问题
jackzhouyu的专栏
08-16 5677
什么时符号表? 动态链接库so文件结构是由一个个Section段构成,一般来说在文件最后会附件一个符号表段,描述其他段对应的函数、变量等符号,当so执行错误时,就会打印so有函数、变量等具体的堆栈符号信息,而不是一堆二进制数据; 当然,这附加的符号表并不是执行必须的,可以去除掉,而且一般也是去除掉!否则so库size会特别大 为什么Android studio生成的so不带符号表 起初查询了网上的资料都是在cmakelist里面去: set(CMAKE_BUILD_TYPE DEBUG) set(CMAKE
iOS程序逆向Mac下常用工具——Reveal、HopperDisassemble、IDA
weixin_30877181的博客
11-12 497
原文在此 一、Reveal 1 一般使用 Reveal是ITTY BITTY发布的UI分析工具,可以很直观的查看App的UI布局。如下图所示: Reveal是需要付费的,需要89美元,也可以免费使用30天,不过和其它软件一样,网上都有破解版。推荐另一位博主的博客,里面有破解版安装和简单使用教程:iOS张诚的博客——Reveal使用教程。 另外也将软件Fork了一份到Gi...
iOS 逆向工具 - restore-symbol
sharpyl的专栏
03-20 1561
iOS应用在上线前都会裁去符号表,以避免被逆向分析,restore-symbol 便是用于恢复符号表的利器。 符号表原理:https://blog.csdn.net/sharpyl/article/details/88610991 git:https://github.com/tobefuturer/restore-symbol 1.下载源码编译 git clone --recursive ht...
[pwn&re]使用IDA flair恢复静态编译去符号的库函数名
热门推荐
Breeze的博客
12-31 1万+
使用IDA恢复去符号的库函数名 文章目录使用IDA恢复去符号的库函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原库函数名称的IDA功能:f...
IDA配置符号表路径
、moddemod
05-20 2528
在IDA安装目录找到pdb.cfg 配置PDBSYM_SYMPATH
恢复函数名
最新发布
CZ010822的博客
11-09 419
通过bindiff有符号的和无符号的文件恢复函数名(一半很少用bindiff这样的重型工具)用sigmake来处理生成的pat文件,并生成一个签名文件。在IDA中shift+F5,选择添加sig文件进行解析。将生成的签名文件复制到IDA的/sig/目录中。用FLAIR解析器为该库创建一个pat文件。找到源文件,编译源文件来生成新的符号表。找到加载地址、起始地址和结束地址。找到用于静态编译的静态库。通过python脚本恢复
[笔记]windows逆向学习
二次元怪兽的博客
02-27 814
#常见含义 一般寄存器:AX、BX、CX、DX AX:累积暂存器,BX:基底暂存器,CX:计数暂存器,DX:资料暂存器 索引暂存器:SI、DI SI:来源索引暂存器,DI:目的索引暂存器 堆叠、基底暂存器:SP、BP SP:堆叠指标暂存器,BP:基底指标暂存器 EAX、ECX、EDX、EBX:為ax,bx,cx,dx的延伸,各為32位元 ESI、EDI、ESP、EBP:為si,di,sp,bp的延...
13.IDA-显示正确的函数名称(去掉c++后缀命名)
hgy413的专栏
01-26 8113
随便看一段IDA的反汇编: C++编译器用于区分重载函数的机制。为了给重载函数生成唯一的名称,编译器用其他字符来修饰函数名称 图左就是C++的后缀命名法,图右是正常的函数名字 为了显示正常的函数名字,使用Options▶Demangled Names 比如,我们选中Names,反汇编将显示为: 附 如果一个二进制文件使用了后缀命名,IDA的取消改编功能会立即展示函数的参数类型和返回
ELF文件-符号表
farmwang的专栏
06-02 4732
目标文件中的"符号表"(symbol table)中所包含的信息用于定位和重定位程序中的符号定义和符号引用;目标文件中的其它部分通过一个符号在这个表中的索引值来使用该符号;索引值从0开始计数,但值为0的索引表项(即第一项)并没有实际的意义,它表示未定义的符号;用常量STN_UNDEF来表示未定义的符号; 符号表项(Symbol Table Entry)的格式使用结构体Elf32_Sym/Elf6
arm ida 伪代码 安卓 符号表_IDA调试界面介绍及快捷键
weixin_31940053的博客
01-08 870
点击蓝字默默关注首先,打开IDA工具,进入IDA的调试界面。1IAD调式界面介绍1.IDA-view-PC:反汇编窗口,如图1.1所示。 (图1.1)2.Hex-View:十六进制编辑窗口,如图1.2所示。 (图1.2)3.Output windows(下方) :输出窗...
IDA pdb 自动下载
zhangmiaoping23的专栏
11-11 7388
找到IDA/CFG/PDB.CFG  y&wo"';   \0FwxsL MieO1找到这里 DbYnd%k*4 PDBSYM_DOWNLOAD_PATH    = "C:\\symbols"; Fx:4d$>; ^Iqu^n?2. G[{Av5g mx // Full symbol path (in _NT_SYMBOL_PATH form
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值