linux srelf 加壳代码,浅谈被加壳ELF文件的DUMP修复

最新推荐文章于 2023-08-10 13:33:15 发布
最新推荐文章于 2023-08-10 13:33:15 发布
阅读量479 收藏 1
点赞数
文章标签: linux srelf 加壳代码

前面的文章中,我已经介绍了如何调试被加壳的ELF,这里不在叙述,直接进入正题,以某加固为例,如何DUMP和修复被加壳的ELF,使其能调试加载

我们先来看看被加壳ELF的头和Program Header

ee295aa066b508a87f025f7305f0626f.png

d869601de22e55eead45cda104119c9d.png

首先我要让调试器停在入口点0x3860的位置

开始DUMP修复之旅,我的第一次DUMP修复的方法,延续了PE的思路,结果失败了

失败的原因并不是思路不对,而是细节上出现问题

第一次DUMP的方法:

1.废除不影响加载的section(直接把结构体填0),只关心PT_LOAD和PT_DYNAMIC两种类型节 2.计算DUMP文件最大值 align_up(0x28ca4, 0x8000) = 0x31000 3.将offset和va变成相等值,filesize和memsize按照align对齐 4.根据PT_LOAD节数据把数据DUMP出来,把DUMP数据放进文件里

那么根据上图描述数据,应该有两块儿

PT_LOAD : 0 ----align_up(0x12044, 0x8000) = 0 ----- 0x1B000

PT_LOAD : align_down(0x28ca4,0x1000) = 0x28000 ---- align_up(0x28ca4, 0x8000) = 0x31000

因为安卓也是linux内核,内存页对齐粒度为4K(0x1000)

按照上述方法DUMP完,我们来看看IDA加载以后,JNI_ONLOAD的样子

cd781ee92f5401cd6295bf2443270d60.png

看下红色的部分,奇怪了,本来应该有的代码去哪里了??

0x221b0这个地址竟然无效

可是动态调试器中明明可以看到这段代码:

f97cdff0d1fd38310aa4f5cfff82bcd9.png

对照Program Header, 再看0x221b0这个地址,PT_LOAD节中并没有描述这个地址 所以,失败就是在这个地方,壳的代码里一定是mmap了这段内存,将解密后的数据,放进去,并修改了内存属性

通过跟踪壳代码,发现确实如此,壳代码通过svc 0,调用了mmap,mprotect两个函数

mmap(0x3000, 0x23710, 0x3, 0x32, 0xffffffff, 0x0)

map页属性:PROT_READ | PROT_WRITE

mprotect(0x3000, 0x23710, 0x5)

修改页属性:PROT_READ | PROT_EXEC 具体参数说明请参考帮助文档

这段区域起始地址:0x3000 大小:align_up(0x23710, 0x1000) = 0x24000 结束地址:0x3000 + 0x24000 = 0x27000 0x221b0这个地址正好在0x3000-–|0x27000这个范围里

通过上述过程,重新总结DUMP方法如下

废除不影响加载的section(直接把结构体填0),只关心PT_LOAD和PT_DYNAMIC两种类型节

计算DUMP文件最大值 align_up(0x28ca4, 0x8000) = 0x31000

只保留一个PT_LOAD节,从0到0x31000 将整块儿数据DUMP下来直接写入文件,修改align为0x1000,修改flag为RWE

修改PT_DYNAMIC节的offset,和VA相等 修复完的节表如下:

f0d436bfef51ee9ec9919f7f3dfa4ca8.png

最后一个注意的地方,就是干掉INIT段或者是INIT_ARRAY段

干掉INIT方法:定位INIT描述的数据偏移,将偏移+8的数据,前移8个字节

干掉INIT_ARRAY方法:定位到VA处,按照结构,将数据填充为0xffffffff或者0

看下图,INIT段已经不存在了

e42f0f45a70294586e13352e8f1b1f21.png

我们来打开IDA,加载修复的文件,看看效果:

65bbc4ec9dee6ad899cd60b6b533fcee.png

2aed5a9ea0a6a849156997710fb1df62.png

数据完整,再看看动态加载的效果

1a6cbc4c378aebba8aca938f2d12d311.png

加载成功~~~

哈哈,至此,修复完成

百悦宠物
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pe、elf文件加壳时的处理
10-27
关于PE加壳的信息文档。。。。。。。。。。。。。。。。。。大家下来看看就可以了,,,呼呼,是一位黑客牛人写的
ELF文件解析
icener的博客
01-12 4895
ELF文件解析近期进行Android的逆向,而且本人对逆向也有比较大的兴趣。自己写出好代码是一个方面,而破解别人的代码则会给人不一样的成就感。另外,Java层的Android开发是如此不安全,越来越多的公司把重要的东西写入Native层,逻辑处理均由Native层完成,而Java层只负责进行结果显示。这样便要求对Native层的so文件进行逆向解析,而so文件linux系统下的ELF(Excuta
ELF文件格式解析
云守护的专栏
06-23 6224
转自:http://zke1ev3n.me/2015/12/15/ELF%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F%E8%A7%A3%E6%9E%90/ —本文基本的内容都是来源于《程序员的自我修养》,之所以摘录下来是为了方便查阅,还有一部分表格是来源于滕启明写的《ELF文件格式分析》。顺便安利一下这本书,是本程序员必读的好书,看了好几遍,每次看都有新收获。
UPX源码分析——加壳
键盘的起始页
07-27 3340
0x00 前言UPX作为一个跨平台的著名开源压缩壳,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱壳都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对ELF文件的处理流程,希望起到抛砖引玉的作用,为感兴趣的研究者和使用者做出一点微不足道的贡献。0x01 编译一个debug版本的UPXUPX for Linux的源码位于其git仓库地址https://github.com/
2023-08-10 压缩及加壳工具upx-记录
最新发布
技术之路
08-10 611
upx, 一个用起来很简单的小工具,主要用来给二进制文件及静态库动态库文件做压缩,加壳功能不强.本文做下简单的记录,以备后续查询.
linux c 加壳
True Truth
11-20 2697
软件加壳,主要目的是为了防止被破坏。我最近遇到一个linux c 的加壳需求。 核心其实也非常简单,就是完成运行过程中,解壳完成后的源程序代码重定位,让源代码正常的运行起来。 现在比较出名的加壳工具还是成名已久的开源老将 – - – UPX,但是有个弊端就是,开源的,解壳工具基本上也是开源的,这样只是让我们自己的软件 加壳比不加壳 只是多了一层遮羞布。 解决这个问题,我有两个方案,一个是将UPX...
易语言文件加壳
07-22
易语言文件加壳源码,文件加壳
ycsrc汇编加壳代码.rar_加壳_加壳工具_汇编 加壳_汇编加壳_汇编加壳代码
09-19
很好的汇编写的加壳工具原代码,经测试,效果不错。压缩效果也可以。
代码加壳工具dotfuscator.zip
05-10
代码加密
Win32Test1_Pe查看器代码_PE加壳_
10-04
查看exe
linux下最好用的upx加壳工具
12-23
upx是一个用的最多的加壳工具,有效的防止程序被人进行反编译破解 这个是linux 下32位
Linux系统下改进的软件加壳保护技术
09-26
Linux系统下改进的软件加壳保护技术 绝对的好文章
Linux系统下改进的软件加壳保护技术.rar
06-26
Linux系统下改进的软件加壳保护技术.pdf。
易语言源码易语言文件加壳源码.rar
03-31
易语言源码易语言文件加壳源码.rar
ELF文件头读取修改
远有青山
03-12 9136
ELF = Executable and Linkable Format,可执行连接格式,是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的。扩展名为elfELF 文件有三种类型:可重定位文件:也就是通常称的目标文件,后缀为.o。共享文件:也就是通常称的库文件,后缀为.so。可执行文件:本文主要讨论的
linux elf文件 破解,Linux系统编程练习 ELF文件头读取和修改
weixin_35802555的博客
04-30 444
ELF文件有三种类型:可重定位文件:也就是通常称的目标文件,后缀为.o。共享文件:也就是通常称的库文件,后缀为.so。可执行文件:本文主要讨论的文件格式,总的来说,可执行文件的格式与上述两种文件的格式之间的区别主要在于观察的角度不同:一种称为连接视图(LinkingView),一种称为执行视图(Execution View)。一个典型的ELF文件有两种描述视图:program header和sec...
LinuxELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2015
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
linux 生成 dump文件
richer_live的博客
02-16 1387
linux
工具使用,Virbox用户工具(Linux),深思数盾,离线软锁加密,离线解绑,加壳软件,加壳工具,Virbox离线加密
m0_37542524的博客
06-26 9998
文章目录1,安装Virbox用户工具(Linux)1.1,查看系统位数1.2,下载相应安装包1.3,安装2,在Virbox LM 开发者中心设置账号许可,用于软锁离线加密2.1,产品管理2.2,销售模板,账号模板2.3,用户管理2.4,许可分发,账号许可3,Virbox用户工具的使用3.1,启动3.2,设置Virbox用户工具为服务器客户端模式3.3,添加可使用的网络服务器3.4,设置代理服务器3...
linux 程序加壳的原理
05-18
Linux中,程序加壳的原理基本上是将可执行文件(二进制文件)添加一个额外的壳层,使得该文件的内容变得不易被识别和破解。 程序加壳的基本原理是: 1. 加载壳程序:首先,系统会加载壳程序,该程序会解密或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值