修复so中动态解密字符串

最新推荐文章于 2024-09-21 23:16:11 发布
最新推荐文章于 2024-09-21 23:16:11 发布
阅读量179 收藏 1
点赞数
分类专栏: IDA动态调试 安卓逆向 手机内存dump so文件 文章标签: ida python so字符串解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/someby/article/details/130528419
版权
本文介绍了如何使用IDA的Python脚本来导出内存中解密后的字符串,并修复静态SO文件中的加密字符串。首先,通过IDA的Python脚本从内存读取并保存数据,然后在静态文件上应用相同的数据进行修复,以方便静动态结合的分析工作。
摘要由CSDN通过智能技术生成

目标

导出内存中已经解密的字符串,并将到处的解密字符出替换修复静态so文件中加密的字符串,便于静动态结合分析。

导出Memory中的字符串脚本

通过ida的python脚本导出内存中已经解密的字符串。

import idaapi
start_address = 0xe2a68fc0 #data区在内存的起始地址
data_length = 0xD0A #data区数据长度
data = idaapi.dbg_read_memory(start_address , data_length)
fp = open("G:\\逆向分析文档\\momo\\idascript\\data_old_32.dat", 'wb')
fp.write(data)
fp.close()

静态so文件字符串修复脚本

通过ida的python脚本修复静态so文件中的字符串。

import copy
import idc
import idaapi
import idautils
from idc import *
from idaapi import *


data_ea = 0xE6000 #data区起始地址
data_ed = 0xE7684 #data区结束地址


int_array = []

with open('G:\\逆向分析文档\\momo\\idascript\\data_old_32.dat', 'rb') as fd:
    byte_array = list(fd.read())
    for val in byte_array:
        int_array.append(ord(val))

for addr in range(data_ea, data_ed):
    idc.patch_byte(addr, int_array[addr-data_ea])

print('=====patch end=====')

遇到的问题

ord() expected string of length 1, but int found

zerone-f
关注
专栏目录
Unidbg系列--Ollvm字符串解密
Tasfa的博客
06-25 1024
Ollvm字符串解密 原理 使用unidbg框架,模拟调用So文件,并Hook内存写操作,当so解密操作写入内存时,回调获取解密字符串,并将其写入新so文件,达到反OLLVM字符串加密的目的。 解密脚本 package com.xCrack; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unid
dex字符串解密_DEX文件混淆加密
weixin_39664456的博客
12-20 3066
现在部分 app 出于安全性(比如加密算法)或者用户体验(热补丁修复bug)会考虑将部分模块采用热加载的形式 Load。所以针对这部分的 dex 进行加密是有必要的,如果 dex 是修复的加密算法,你总不想被人一下就反编译出来吧。当然也可以直接用一个加密算法对 dex 进行加密,Load 前进行解密就可以了,但是最好的加密就是让人分不清你是否加密了。一般逆向过程拿到一个可以直接反编译成 java...
android 字符串 混淆,某右 so层ollvm字符串混淆
weixin_36469638的博客
05-28 962
某某apk so层ollvm字符串混淆本次逆向分析用到的工具:adb、ida、010Editor、ddms。这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。先检测一下设备是否正常adb devices然后解压apk文件,提取出lib目录下的libnet_crypto.so文件armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要...
在C#加密和解密字符串[重复]
w36680130的博客
06-23 390
This question already has an answer here: 这个问题在这里已有答案: Encrypt and decrypt a string in C#?
最右ollvm字符串混淆还原
ST0new的博客
03-22 2203
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
Android安全防护之字符串批量加密工具(AndStringGuard)原理介绍
CodeEyes的博客
11-25 670
一、支付宝的防护策略      现在很多应用在为了安全对应用做了很多防护方式,之前我也介绍了很多防护策略:Android几行代码让你的应用变得更加安全;文也提到了应用安全防护的最终目标是防止别人看到你的代码,我们也知道这里的最终方式都是加固操作,但是加固有一些缺点,而这些确定导致现在很多公司应用并不会去选择他,所以一些其他的防护策略就出来了,包括防hook,防调试等操作。今天我们再来看一下如何...
简单粗暴的so加解密实现
linuxheik的专栏
10-17 5611
标 题: 已解答: 【原创】简单粗暴的so加解密实现 作 者: ThomasKing 时 间: 2014-08-26,21:42:58 链 接: http://bbs.pediy.com/showthread.php?t=191649 以前一直对.so文件加载时解密不懂,不了解其工作原理和实现思路。最近翻看各种资料,有了一些思路。看到论坛没有类似帖子,故来一帖,也作为学习笔记。限于水平
Android so库文件的区节section修复代码分析
Fly20141201. 的专栏
12-16 7402
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78818917 一、Android so库文件的节表secion修复方案整理             1. 简单粗暴的so加解密实现               https://bbs.pediy.com/thread-191649.htm          
Prime1 靶机渗透 ( openssl 解密 ,awk 字符串处理,信息收集)
最新发布
m0_63416413的博客
09-21 1017
拿初级的反弹 shell,用户为 www-data查看文件时看到 enc 的名字,想到 openssl 相关用 find 找文件名为 backup 的备份文件,靶机适用对于一般的用户使用习惯,/opt 存放备份文件是一个特点在备份文件找到执行 enc 需要的密码执行 enc 后,找到 enc.txt 和 key.txt处理 key 使用 awk od tr , 把 ‘ippsec’ 的 md5 转为 hex。
看雪3万课程笔记-Frida 辅助分析ollvm字符串加密(一)
kfyzjd2008的博客
03-04 972
一、ollvm的混淆原理: 视频是这样说的,程序在编译过程会加密字符串,运行时会解密字符串,所以在运行过程我们可以获取到它真正的字符串, 二、操作: IDA打开.so文件,在导出函数搜索.data会发现三个.datadiv_decode+随机数字段。双击进入 双击一个进入 如图,比如我们想看看byte_37031,byte_37031是什么字符。打开010 Editor file -> new -> new hex file 打开一个新的十六进制文本,输入 15
Android安全防护之旅---字符串批量加密工具(AndStringGuard)原理介绍
尼古拉斯.赵四的博客
04-06 1474
一、支付宝的防护策略 现在很多应用在为了安全对应用做了很多防护方式,之前我也介绍了很多防护策略:Android几行代码让你的应用变得更加安全;文也提到了应用安全防护的最终目标是防止别人看到你的代码,我们也知道这里的最终方式都是加固操作,但是加固有一些缺点,而这些确定导致现在很多公司应用并不会去选择他,所以一些其他的防护策略就出来了,包括防hook,防调试等操作。今天我们再来看一下如何把应用...
模拟器网络桥接教程
热门推荐
someby的博客
10-19 2万+
有时候模拟器需要进行桥接,才能满足我们需要的网络需求,下面就记录一下自己在摸索模拟器桥接的方法步骤。 目录 一、夜神模拟器 1.打开夜神模拟器设置 2.选择手机与网络 3.重启 4.查看模拟器IP 5.网络端口映射 6.启用一个hook程序,验证服务是否可用 二、雷电模拟器 1.打开设置 2.打开网络设置 3.打开桥接模式 4.安装网络驱动 5.重启模拟器 6.查看模拟器IP 三、可以根据具体需求选择桥接的网络 1.网卡选择 2.模拟器可以根据具体需求进行选择 3.电脑
frida dump android手机内存数据工具
someby的博客
03-13 1万+
frida dumpandroid手机内存数据工具
安卓逆向Xposed HOOK TB直播APP的x-sign参数
someby的博客
10-01 1万+
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝直播APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。 一、环境工具 环境:windows 10 设备:雷电模拟器,google pixel HOOK框架:Xposed 插装工具:Frida 编译器:android studio 反编译工具:jadx 抓包工具:Charles 分析APP:某淘直播apk(com.***.live_1.8.6
Xposed HOOK 闲鱼的x-sign参数
someby的博客
01-02 8711
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝直播APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。技术支持,扣扣:3165845957 {"x-sign":"azSdY1002xAAGTOrG3oat7W3Cl5CuTOpOyrE7MLTDcHmpOcYgQ2AAK2s8P5+RHf/cTJX5G3EEiBQo/ftY5h33uGe4jkzuTOpM7kzqT","wua":"","x-mini-w
在已解锁的Google Pixel安装Xposed框架
someby的博客
11-30 5877
零、为什么写这篇博客? 在今年九月份的时候,搞了三台已解锁的Google Pixel手机(买的是二手手机,已经让卖家解锁好了),在上面安装Xposed框架,来做APP数据采集,当时弄了很长时间,开始是使用Andriod 7.0系统,在安装环境的过程一直遇到问题,但是将系统升级到Andriod 8.0后,问题就解决了,后面就是从一个解锁过的手机上,一步一步的安装整个采集环境。由于但是解决问题后没有写笔记做记录,现在(2020.11.30)公司需要在20台这个版本的手机上安装APP采集环境,之前的操作细节节
安卓逆向Xposed HOOK TB直播APP的x-sign参数(二)
someby的博客
12-14 4865
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝直播APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。 分析展示 {"x-sign":"azSdY1002xAAGTOrG3oat7W3Cl5CuTOpOyrE7MLTDcHmpOcYgQ2AAK2s8P5+RHf/cTJX5G3EEiBQo/ftY5h33uGe4jkzuTOpM7kzqT","wua":"","x-mini-wua":"HHnB
frida一些常用js脚本
someby的博客
05-10 4487
frida一些常用脚本 frida暴力破解的时候加点延时防止程序崩溃 //frida暴力破解的时候加点延时防止程序崩溃 function sleep(time) { var timeStamp = new Date().getTime(); var endTime = timeStamp + time; while (true) { if (new Date().getTime() > endTime) { return;
Java字符串加密解密实战与DES算法解析
"Java字符串进行加密和解密" 在Java编程,对字符串进行加密和解密是一项重要的安全措施,主要用于保护敏感信息,如密码和个人数据。本文将介绍这个主题,包括密码学的基本概念、加解密模型以及常用的加密算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值