逆向 - 恢复符号表

最新推荐文章于 2024-05-14 09:46:51 发布
最新推荐文章于 2024-05-14 09:46:51 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27074387/article/details/85762282
版权

获取符号表偏移前的地址

  1. 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试中查看代码的函数调用栈时符号偏移前的地址
    = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其中 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb中通过image list -o
    -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址:image list -o -f | grep QQ

恢复符号表

  1. 克隆第三方库: git clone https://github.com/tobefuturer/restore-symbol
  2. 到库目录里: cd restore-symbol
  3. 编译成功后会在当前目录生成一个 restore-symbol 可执行文件 : make
  4. 在macOS终端运行(设置为全局命令): sudo cp ./restore-symbol /usr/local/bin
  5. cd 到砸壳去签名后文件的目录
  6. lipo -info WeChat.decrypted 查看是否是fat的文件,如果是fat的文件,那么看 7
  7. fat文件瘦身:lipo WeChat.decrypted -thin arm64 -output
    WeChat.decrypted.arm64
  8. 获取符号表:restore-symbol WeChat.decrypted.arm64 -o WeChat.symbol
  9. 文件 WeChat.symbol 是我们恢复符号表的文件,如果是瘦身回来的直接使用瘦身的,不用合并
  10. WeChat.app 是微信的原包文件,替换掉原先的MatchO文件:cp WeChat.symbol WeChat.app/WeChat
  11. 签名成功后走下面打包。(签名看最下面的介绍)
  12. 准备打包:mkdir Payload & cp -r WeChat.app Payload
  13. 打包成IPA文件:zip -r WeChat.ipa Payload
  14. iTool安装IPA文件,或者不用打包IPA,通过ideviceinstaller -i [ipa文件]

恢复Block 的符号表

  1. Mac版IDAfn+Alt+F7打开脚本,或者menu+文件+Script file
    加载https://github.com/tobefuturer/restore-symbol/blob/master/search_oc_block/ida_search_block.py这个脚本
  2. IDA控制台输出Search completed表示,恢复完成。在IDA打开文件路径有:block_symbol.json
  3. 在原先恢复函数符号表的Mach-O文件中,继续恢复Block符号表restore-symbol WeChat.symbol -o WeChat.symbol -j block_symbol.json
  4. 然后根据上面流程10重新打包安装

逆向中使用 POD

  1. 导入 pod
# Uncomment the next line to define a global platform for your project
# platform :ios, '9.0'

target 'QG_FQ' do
  # Uncomment the next line if you're using Swift or would like to use dynamic frameworks
  # use_frameworks!

  # Pods for QG_FQ

end

target 'QG_FQDylib' do
  use_frameworks!
  pod 'YYModel'
  pod 'MBProgressHUD', '~> 1.1.0'
end
  1. 使用 pod
    在文件中导入直接使用就行;
Li.CQ
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
arm ida 伪代码 安卓 符号表_iOS符号表恢复&逆向支付宝
weixin_32427471的博客
01-26 379
推荐序本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的***,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star 和...
恢复函数名_bindiff 符号表
2401_84009679的博客
04-06 426
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
探索逆向工程的利器:restore-symbol
最新发布
gitblog_00011的博客
05-14 478
探索逆向工程的利器:restore-symbol 项目地址:https://gitcode.com/tobefuturer/restore-symbol 逆向工程是iOS开发者必备的一种技能,它可以帮助我们理解代码运行机制、调试复杂问题或增强安全性。今天,我们要向您推荐一个强大的工具——restore-symbol,这是一个专为iOS应用设计的反编译工具,能恢复已剥离的符号表,让您的逆向调试工作变...
iOS 符号表恢复 & 逆向支付宝
weixin_34415923的博客
08-30 248
推荐序 本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的最后,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。 本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star ...
iOS逆向学习四:符号表还原
sharon
09-15 1344
本文的部分理论支持,节选自这里:iOS符号表恢复。 前言 符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前要裁去符号表,以避免被逆向分析。 这些可以通过配置xcode的编译选项来达到效果。具体操作请看这:Xcode中和symbols有关的几个设置。 Xcode显示调用堆栈中符号时,只会显示符号表中有的符号。为了我们调试过程的顺利,我们有必要把可执行文件中的符号表恢复回来。 先来看一眼无符...
ida修复函数名
qq_26394845的博客
09-21 562
ida修复函数名。
Android studio打包so动态链接库没有符号表问题
jackzhouyu的专栏
08-16 4847
什么时符号表? 动态链接库so文件结构是由一个个Section段构成,一般来说在文件最后会附件一个符号表段,描述其他段对应的函数、变量等符号,当so执行错误时,就会打印so有函数、变量等具体的堆栈符号信息,而不是一堆二进制数据; 当然,这附加的符号表并不是执行必须的,可以去除掉,而且一般也是去除掉!否则so库size会特别大 为什么Android studio生成的so不带符号表 起初查询了网上的资料都是在cmakelist里面去: set(CMAKE_BUILD_TYPE DEBUG) set(CMAKE
iOS恢复符号表逆向支付宝
03-29
讲述恢复被strip的应用程序的过程,蛮好的,大佬的巨作,膜!!!
Cortex-M_逆向分析与安全.pdf
08-11
* 没有符号表,无法通过名称确定函数 * 大量使用全局变量,逆向需要非线性思路 * 大量硬跳转,需要熟悉硬件架构 * 自定义软硬件结构,部分芯片不公开手册资料 三、堆栈溢出示例 堆栈溢出是一种常见的攻击方式,...
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
因为相关的符号表最初是压缩的,所以它应该恢复原始二进制文件中不可见的字符串。 它会生成一个.ELF文件,您可以使用IDA Pro和Ghidra对其进行分析。因此,该工具对于嵌入式系统的逆向工程很有用。 用法: ./vmlinux...
iOS程序逆向Mac下常用工具——Reveal、HopperDisassemble、IDA
weixin_30877181的博客
11-12 376
原文在此 一、Reveal 1 一般使用 Reveal是ITTY BITTY发布的UI分析工具,可以很直观的查看App的UI布局。如下图所示: Reveal是需要付费的,需要89美元,也可以免费使用30天,不过和其它软件一样,网上都有破解版。推荐另一位博主的博客,里面有破解版安装和简单使用教程:iOS张诚的博客——Reveal使用教程。 另外也将软件Fork了一份到Gi...
[pwn&re]使用IDA flair恢复静态编译去符号的库函数名
热门推荐
Breeze的博客
12-31 1万+
使用IDA恢复去符号的库函数名 文章目录使用IDA恢复去符号的库函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原库函数名称的IDA功能:f...
IDA配置符号表路径
、moddemod
05-20 2220
在IDA安装目录找到pdb.cfg 配置PDBSYM_SYMPATH
13.IDA-显示正确的函数名称(去掉c++后缀命名)
hgy413的专栏
01-26 7967
随便看一段IDA的反汇编: C++编译器用于区分重载函数的机制。为了给重载函数生成唯一的名称,编译器用其他字符来修饰函数名称 图左就是C++的后缀命名法,图右是正常的函数名字 为了显示正常的函数名字,使用Options▶Demangled Names 比如,我们选中Names,反汇编将显示为: 附 如果一个二进制文件使用了后缀命名,IDA的取消改编功能会立即展示函数的参数类型和返回
利用ida对程序的静态链接库进行处理(转)
zhangmiaoping23的专栏
12-28 6835
转:http://seckungfu.com/blog/2012/07/14/li-yong-idadui-cheng-xu-de-jing-tai-lian-jie-ku-jin-xing-chu-li/ 利用ida对程序的静态链接库进行处理 用IDA进行反汇编时最怕遇到的就是跟踪到了程序静态链接的库函数中,看得一头雾水不说,还浪费了大量的时间。其实如果有符号表的话,看看函数名就知道
arm ida 伪代码 安卓 符号表_IDA调试界面介绍及快捷键
weixin_31940053的博客
01-08 768
点击蓝字默默关注首先,打开IDA工具,进入IDA的调试界面。1IAD调式界面介绍1.IDA-view-PC:反汇编窗口,如图1.1所示。 (图1.1)2.Hex-View:十六进制编辑窗口,如图1.2所示。 (图1.2)3.Output windows(下方) :输出窗...
IDA pdb 自动下载
zhangmiaoping23的专栏
11-11 7199
找到IDA/CFG/PDB.CFG  y&wo"';   \0FwxsL MieO1找到这里 DbYnd%k*4 PDBSYM_DOWNLOAD_PATH    = "C:\\symbols"; Fx:4d$>; ^Iqu^n?2. G[{Av5g mx // Full symbol path (in _NT_SYMBOL_PATH form
IDA6.1下载符号表时卡死
wqx12343的博客
12-07 949
第一次打开IDA,要求下载微软符号表,点击“确定”后,出现对话框“please waiting”,由于网速慢,很长时间没有反应,点击IDA,出现该页没有响应。解决办法: 1、去微软网站下载对应符号表,放在c:\symbols目录下。 2、打开IDA-cfg-PDB.CFG ,右键-文本编辑器编辑。修改为如下所示 PDBSYM_DOWNLOAD_PATH = “c:\symbols”;//
如何修改动态库符号表1
08-08
一、ELF 文件和有关术语Unix 系统的可执行文件和动态库文件是以 ELF 格式存放的 二、动态库符号表修改方法修改动态库符号表的方法和步骤如下:第一步:读取

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值