当碰到So里代码 被加密时
我们怎么处理了 如何得到解密后的东西了
思路是这样:
当程序运行时 so被加载的时候 这时候 加载到内存中的时候 的so是解密后了的
那么我们就在 动态调试时 加载了这个so后 到Module 模块列表里
找到 这个so 可以看到 它的 Base 和 Size
通过这两个值 so在内存中的起始地址 和 这个so的大小 我们就可以 dump出来 解密后的 so
用IDA脚本
auto fp,addr_start,addr_now,size,addr_end;
addr_start = 0xb4333000;
size = 0x5000;
addr_end = addr_start+size;
fp=fopen(“C:\dump.so”,“wb”);
for(addr_now = addr_start;addr_now<addr_start+size;addr_now++)
fputc(Byte(addr_now),fp);
实际用的时候 修改下 addr_start 跟 size 值 即可