ELF文件加密相关

[转载]ELF文件加密相关

[原文]http://bbs.pediy.com/thread-191649.htm

• 一、概述
  动态链接库能对抗逆向，由于IDA的存在，还需要对核心部分加密。.so加密有两种：1.无源码：类似可执行文件的加壳，需要对文件进行分析，在合适的地方插入解密代码2.有源码：可以构造解密代码并让解密过程在.so被加载时完成。
  下文分析有源码的情况，包含对elf header的分析以及基于特定section和特定函数的加解密实现。

• 二、so（ELF）头分析
  ELF头的各个字段：
  typedef struct {
  unsigned char e_ident; /* File identification. */
  Elf32_Half e_type; /* File type. */
  Elf32_Half e_machine; /* Machine architecture. */
  Elf32_Word e_version; /* ELF format version. */
  Elf32_Addr e_entry; /* Entry point. */
  Elf32_Off e_phoff; /* 段头偏移. */
  Elf32_Off e_shoff; /* 节头偏移. */
  Elf32_Word e_flags; /* Architecture-specific flags. */
  Elf32_Half e_ehsize; /* elf头字节数. */
  Elf32_Half e_phentsize; /* 段头入口大小. */
  Elf32_Half e_phnum; /* 段头数. */
  Elf32_Half e_shentsize; /* 节头入口大小. */
  Elf32_Half e_shnum; /* 节头数. */
  Elf32_Half e_shstrndx; /This member holds the section header table index of the entry associated with the section name string table. /
  } Elf32_Ehdr;
  节信息和链接视图有关，段信息和装载视图有关。
  
  节头表提供链接器链接符号的重要信息，属于链接视图；而段表是链接完生成可执行文件和动态库后才有的，在被加载和执行的时候用到，属于加载视图。因此可执行文件和动态库肯定包含段表，可以不包含节头表，但一般都有，readelf和objdump这类工具都是通过读取节头表的信息来实现的。另外，段是按照可读、可写和可执行这类的权限把节进行归类，相同权限的分为一段，所以一个段包含一个或多个节，整个ELF文件就这么划分。
  这里加一句，一般段表在ELF文件中的位置是紧接着ELF头的位置，而节头表是在ELF文件的末尾。
  我的理解：节区通过链接生成可执行的段，如果之后还有节信息就依据权限归类分到不同的段以备下一次链接生成。节链接生成段，所以链接视图必须有节，而执行视图执行的就是段必须有段。如果还需要继续链接则还有节。链接必有节，执行必有段；段紧挨elf头，节在elf尾。
  所以，e_phoff = sizeof(e_ehsize);
  整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1
  e_shstrndx字段的值跟strip有关。Strip之前：.shstrtab 并不是最后一个section.则 e_shstrndx = e_shnum – 1 – 2;
  
  而经过strip之后，动态链接库末尾的.symtab和.strtab这两个section会被去掉. 则e_shstrndx = e_shnum – 1。
  
  e_shstrndx字段的值就是.shstrtab的索引。

• 图片链接和图片上传

• LaTex数学公式
• UML序列图和流程图
• 离线写博客
• 导入导出Markdown文件
• 丰富的快捷键

---

快捷键

• 加粗 Ctrl + B
• 斜体 Ctrl + I
• 引用 Ctrl + Q
• 插入链接 Ctrl + L
• 插入代码 Ctrl + K
• 插入图片 Ctrl + G
• 提升标题 Ctrl + H
• 有序列表 Ctrl + O
• 无序列表 Ctrl + U
• 横线 Ctrl + R
• 撤销 Ctrl + Z
• 重做 Ctrl + Y

Markdown及扩展

Markdown 是一种轻量级标记语言，它允许人们使用易读易写的纯文本格式编写文档，然后转换成格式丰富的HTML页面。 —— [ 维基百科 ]

使用简单的符号标识不同的标题，将某些文字标记为粗体或者斜体，创建一个链接等，详细语法参考帮助？。

本编辑器支持 Markdown Extra , 　扩展了很多好用的功能。具体请参考Github.

表格

Markdown　Extra　表格语法：

项目	价格
Computer	$1600
Phone	$12
Pipe	$1

可以使用冒号来定义对齐方式：

项目	价格	数量
Computer	1600 元	5
Phone	12 元	12
Pipe	1 元	234

定义列表

Markdown　Extra　定义列表语法： 项目１ 项目２

定义 A

定义 B

项目３

定义 C

定义 D

定义D内容

代码块

代码块语法遵循标准markdown代码，例如：

@requires_authorization
def somefunc(param1='', param2=0):
    '''A docstring'''
    if param1 > param2: # interesting
        print 'Greater'
    return (param2 - param1 + 1) or None
class SomeClass:
    pass
>>> message = '''interpreter
... prompt'''

脚注

生成一个脚注1.

目录

用 [TOC]来生成目录：

数学公式

使用MathJax渲染LaTex 数学公式，详见math.stackexchange.com.

• 行内公式，数学公式为：$\Gamma(n) = (n-1)!\quad\forall n\in\mathbb N$。
• 块级公式：

$$x = \dfrac{-b \pm \sqrt{b^2 - 4ac}}{2a}$$

更多LaTex语法请参考 这儿.

UML 图:

可以渲染序列图：

或者流程图：

• 关于 序列图 语法，参考 这儿,
• 关于 流程图 语法，参考 这儿.

离线写博客

即使用户在没有网络的情况下，也可以通过本编辑器离线写博客（直接在曾经使用过的浏览器中输入write.blog.csdn.net/mdeditor即可。Markdown编辑器使用浏览器离线存储将内容保存在本地。

用户写博客的过程中，内容实时保存在浏览器缓存中，在用户关闭浏览器或者其它异常情况下，内容不会丢失。用户再次打开浏览器时，会显示上次用户正在编辑的没有发表的内容。

博客发表后，本地缓存将被删除。　

用户可以选择 把正在写的博客保存到服务器草稿箱，即使换浏览器或者清除缓存，内容也不会丢失。

注意：虽然浏览器存储大部分时候都比较可靠，但为了您的数据安全，在联网后，请务必及时发表或者保存到服务器草稿箱。

浏览器兼容

1. 目前，本编辑器对Chrome浏览器支持最为完整。建议大家使用较新版本的Chrome。
2. IE９以下不支持
3. IE９，１０，１１存在以下问题
   
   1. 不支持离线功能
   2. IE9不支持文件导入导出
   3. IE10不支持拖拽文件导入

---

---

1. 这里是 脚注 的 内容. ↩