so文件混淆与修复

最新推荐文章于 2024-05-23 10:01:26 发布
最新推荐文章于 2024-05-23 10:01:26 发布
阅读量6.9k 收藏 17
点赞数
分类专栏: 移动安全 文章标签: so混淆 so修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/88410375
版权

一、对section header进行混淆

由于linker不会对section header进行加载,所以对section header进行改动,不会影响so文件正常加载到内存,因此有些程序对section header进行了混淆,导致IDA无法正常进行静态分析。

在这里插入图片描述

混淆方法:
1.将section header table中的addr、offsize等字段值清0,如果清空的是dynsym段,就会使IDA无法找到函数符号
2.对section header中的name字段进行修改,可以更改段名

二、对Program header进行混淆

linker在加载so文件的时候会用到LOAD段,但是没有直接用到其他段的数据,比如说Dynamic段中的数据,在linker源码中会通过switch的方式对Dynamic中的字段进行赋值,也就是说如果对Dynamic中的字段进行复制混淆一样不会影响linker进行加载,因为同样的字段,后面的会覆盖前面的,但这样的静态混淆有个明显的缺陷,同字段的值,一定是最后一个是有效的。

在这里插入图片描述

三、so文件的修复

3.1 最简单的修复方式

如果elf header中的section header offset是一个异常的值,IDA加载时会报错,并且无法正常的静态分析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

最简单的修改方法是将以下几个值清0,这样IDA就不会报错,但是修复的程序非常有限

在这里插入图片描述
在这里插入图片描述

3.2 手动修复

虽然section header的addr完全清0了,但是恢复并不是没有办法

在这里插入图片描述
section header的0段addr和off永远是0。
sectioin header的1段size是0x13,对比Program header的INTERP段可以看出,它的size也是13,就可以猜测对应的是INTERP段,所以section header的1段addr和offset是0x134
在这里插入图片描述

有了1段的addr和offset就可以根据size和align计算出下一个段的addr和offset
在这里插入图片描述
计算到段13的时候,发现0x8b88+340=0x8ec8,这时候根据LOAD段,可以得知它的地址其实应该包含到第二个LOAD段中了,它的offset是9da8,addr是ada8

在这里插入图片描述

当修正到段[23]时,修改值是45da4,第二个LOAD段的offset+filesize=45da4,所以下面的段[24]的修正需要采用另一种方法

在这里插入图片描述
注意到这个段的类型是NOBITS,它的段名应该是.bss,而bss的后面的段是comment段

在这里插入图片描述
可以看到comment段和bss段的offset是一样的
在这里插入图片描述
所以修改如下
在这里插入图片描述

对address的修正
在这里插入图片描述
最后几个address为0
在这里插入图片描述

在010中找到对应的字段全部修正,保存,再用IDA打开。
修复前

在这里插入图片描述

修复后

在这里插入图片描述
在这里插入图片描述

tutucoo
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
12306 Android客户端的libcheckcode.so解密及修复
燕十二的BLOG
04-23 7852
12306Android客户端每个请求包都会带个baseDTO.check_code(如下图)作为数据包安全及完整性校验码,这个校验码由libcheckcode.so生成         如果需要模拟购买火车票的过程,就要调用这个libcheckcode.so,不过这个SO使用dlopen无法加载。其ELF头,如下图所示,红框内表示ProgramHeader,里面的内容不符合elf
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
推荐开源项目:Android So文件浏览修复工具
最新发布
gitblog_00067的博客
05-23 286
推荐开源项目:Android So文件浏览修复工具 项目地址:https://gitcode.com/freakishfox/xAnSo 项目介绍 在Android开发的世界里,So文件(动态链接库)扮演着至关重要的角色,它们包含了设备运行时所需的原生代码。然而,处理和修复损坏或缺失信息的So文件并不是一项简单的任务。这就是我们要向您推荐的开源项目——一个专为Android设计的So文件浏览和修复...
crash工具解析_IDA反汇编静态调试Android平台C++的so文件Crash入门
weixin_39729272的博客
11-21 510
最近刚接触到Android的C++编译出的.so文件崩溃,从后台上报系统能得到ARM64平台下发生crash时pc寄储器地址和函数名称,但没有行号,以及当时栈帧对应的31个寄储器的值,,第一次用IDA调试,边用边百度,不到2小时就上手,很就查出野指针问题了。本文引入两个实战,一个野指针Crash,一个空指针Crash。由于以前做windows多,有C++反汇编基础,也有STL略底层点知识,只是没有...
Android 代码混淆和加固 so库 简单教你一行代码实现
深南大盗的博客
04-01 1607
混淆 因为开启混淆会使编译时间变长,所以debug模式下不开启。我们需要做的是: 1.将release下minifyEnabled的值改为true,打开混淆; 2.buildConfigField不显示log日志 为什么要混淆: 优化java的字节码 减小apk文件的大小,在混淆过程中会删除未使用过的类和成员 代码安全,使类、函数、变量名随机变成无意义的代号形如:a...
Android so加固混淆源码
01-11
Android so加固基础混淆源码,用于初学者开始的学习了解
Android NDK开发动态加载so
10-21
2. **热修复**:当发现.so文件存在问题时,可以通过更新.so文件修复,而无需重新发布整个应用。 3. **平台兼容性**:不同的Android设备可能需要不同的.so库版本,动态加载允许根据设备特性加载合适的库。 4. **...
tinker热修复
12-29
Tinker是一款Android动态下发和加载补丁的框架,它支持动态修复Apk的主要部分,如.dex、.so、资源文件等。Tinker的核心优势在于它的兼容性和稳定性,它能够在无需用户手动更新应用的情况下,对已发布的应用进行修复...
Android热修复Tinker接入及源码解读
01-20
它通过读取补丁文件,将补丁中修改的类或资源文件与原始应用进行合并,然后生成一个新的.dex或.so文件,最后将这个新文件注入到已安装的APK中。这个过程涉及到类加载器的重写、文件系统的操作以及Android系统的权限...
Android SO文件保护加固——混淆篇(一)源代码
09-26
Android SO文件保护加固——混淆
android热修复Tinker简单demo
10-18
微信团队开源的Tinker就是一款强大的Android热修复框架,它支持对dex、资源、so等进行修复。在这个“android热修复Tinker简单demo”中,我们将探讨如何使用Tinker实现一个基本的热修复流程。 首先,我们需要在项目...
Android热修复Tinker
05-13
Tinker相对于其他热修复框架(如AndFix、Dexposed等)的优势在于其全面的修复能力,支持资源、SO库以及对Java和Native层的修复。此外,Tinker具有良好的兼容性和稳定性,能够处理复杂的修复场景。 **5. 注意事项** ...
利用 obfuscator-llvm 对安卓平台 so库进行混淆 虚假流程,字符串混淆
情随事迁个人博客
02-12 456
使用第三方没啥难度,牛逼的还是这些 搞混淆 防止破解的人呐!!! 另外网上某些教程说的太麻烦复杂了,我都是直接下载孤挺花和obfuscator-llvm/一样的用法,编译之后替换bin目录的文件就行了,不需要那么复杂的改那么多东西,而且那么多复杂的步骤没缕清关系就要调到坑里面去了。 github https://github.com/obfuscator-llvm/obfuscator git c...
简单SO加密及ELF头文件修复
Slipper的专栏
04-27 5506
Android(一):简单SO加密及ELF头文件修复 为了对抗IDA等逆向工具对SO进行逆向,一个简单的方法就是对ELF头文件信息进行修改,使IDA等工具解析出错,从而达到对抗的目的。本文所用到的资源文件都会提供下载,有什么写得不好的地方,请指正,谢谢。 一,ELF文件结构 由上图可知ELF有两种视图,当我们应用在执行的时候采用的是执行视图,看图可知,节区头部表是可选的,可选的意思就是存在与不存
12306之梆梆加固libsecexe.so的脱壳及修复
燕十二的BLOG
12-04 1万+
12306使用提梆梆企业VIP版本的加固,跟其它梆梆加固一样,都会用到libsecexe.so来做dex的加载,本文对此so做一个脱壳的分析 (一)、so脱壳 此so的最先执行点在init_proc init_func负责对so进行解密 解密后,可以看到如下字符串 在IDA里找到相关的位置,可以看到如下代码: 解密函数即红框的位置。 hook该函数,让其打印出
第二代Android壳源码-Android第二代加固(support 4.4-8.1)
zhangmiaoping23的专栏
03-21 1028
转:https://bbs.pediy.com/thread-225303.htm介绍代码放在github上:https://github.com/woxihuannisja/Bangcle第二代加固使用的是内存动态加载Dex,也就是不落地加载,可以将Dex加密放在Apk中,在内存中实现解密兼容性测试可以支持Andorid 4.4-8.1版本,目前还不能支持重写了Application类 的Apk...
360加固之libjiagu.so dump修复
热门推荐
燕十二的BLOG
11-20 1万+
一、elfheader修复 dump出来的内存如下图所示,elf header结构有缺失 下面是正常elf头的对比图 下面是010editor对正常elf header的解析     由上图可知,dump出来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。    不过这里缺失的,除了e_shoff, e_shnum, e_sh
android对so文件进行混淆
06-26
### 回答1: 混淆SO文件是指对Android native执行文件(.so文件)中的函数和数据进行加密和混淆,以保护代码的安全性和隐私性。与Java代码混淆不同的是,SO文件混淆是在编译阶段完成的,而不是在打包和发布阶段。 在Android开发中,NDK(Native Development Kit)是一款可用于编写本地代码的工具集。使用NDK开发的应用程序使用SO文件来提供C/C++函数和库。由于NDK代码不会在应用程序中进行编译,因此它们没有类似于Java代码的混淆和加密工具。因此,为了加强SO文件的安全性,需要使用其他的工具来进行混淆。 现在有许多开源的SO混淆工具可供使用。例如,Android NDK提供了一个名为LLVM混淆器的工具,它使用一些与Java代码混淆器不同的技术来优化指令流和掩盖代码逻辑。此外,其他SO混淆工具如YASC、MOVfuscator、O-LLVM等也可以用于混淆SO文件。 SO文件混淆可以通过多种方式实现。例如,针对代码文件进行重命名或修改,删除未引用的函数和数据,加密和混淆重要内容等。此外,也可以通过将硬编码的值替换为映射的值,使用一些外部定义的数据结构来防止反汇编和静态分析等技术来实现混淆。无论采用何种方法,SO文件混淆对于保护代码的安全性和隐私性都具有重要意义。 ### 回答2: 使用Android Studio中的ProGuard工具可以对一个应用程序的Java class文件进行混淆,但是它并不支持对Native代码的混淆。由于so文件是编译后的二进制文件,没有人可读的,对so文件进行混淆通常都是为了防止逆向工程而不是优化程序的运行或缩小它的大小。 现在有一些第三方工具可以用来对so文件进行混淆,比如Bangcle、Qihoo 360、Baidu和信鸽。这些工具通过改变so文件的代码结构、函数名称和变量名等方法来混淆so文件,使之更加难以阅读和理解。 混淆so文件是有一定风险的,因为这可能会导致应用程序的崩溃和功能异常。此外,混淆so文件可能会和某些平台实现产生不兼容的问题。但是如果您确实担心你的so文件受到攻击,那么混淆so文件可能是一个值得考虑的安全策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值