文件目录
首先看看UPX压缩壳的一个特点
壳特点
拿到一个so文件先放进IDA解析一波,从导出函数列表中我们可以看到一个函数叫做init_proc(),点进去可以看到上面的一大堆IDA识别不了的代码,因为是压缩壳嘛,压缩后的指令IDA自然是识别不了,但是不管他怎么压缩,最后在内存中执行的时候都会是一个原版的完整的so文件,所以我们尝试使用frida脚本dump一下这个so文件
使用/proc//map 查看一下地址映射
maps
IDA ctrl+s
可以看到在内存中是多了一块debug区域的,这一块区域的访问权限为 读 执行 这就是解压出来的arm汇编指令
- 使用frida脚本dump so
frida -U -f monkeylord.trygetflag -l C:\Users\Administrator\Desktop\dump_so.js --no-pause
function dump_so(so_name) {