android逆向----内存dump下来的so文件的section简单修复

最新推荐文章于 2024-12-13 00:40:03 发布
最新推荐文章于 2024-12-13 00:40:03 发布
阅读量9.8k 收藏 12
点赞数 4
分类专栏: android逆向 文章标签: ELF section修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yimo_5288/article/details/84780206
版权
本文介绍了如何修复从内存dump下来的Android SO文件的section,包括查找section header table和Section header string table的位置,手动复制到dump文件末尾,修改ELF header的section偏移地址和Section header table中的相应索引项,以使IDA能够正确解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前弄了下抖音1.8.3版本,实在是加密太复杂,只得从内存中dump出关键的libcms.so,但弄出来后用IDA打开,提示first section must be SHT_NULL,查看了下dump下来的so发现没有section header table,只能自己来加上去了

1、从反编译出来的libcms.so中找到section header table和Section header string table位置及内容

2、将其copy到(我这里直接手动修改)dump下来的libcms.so文件末位,重命名为libcms_fix.so

3、修改ELF header 中的section偏移地址e_shoff,将其改为libcms_fix.so文件对应的section header table的偏移地址

4、并且将Section header table中的索引为22的section header(指向了Section header string table)的偏移地址修改为libcms_fix.so对应的Section header string table的偏移地址

这样用IDA就可以解析到完整的视图了,方便我们查看

ELF.H文件中ELF头的结构

 

这是反编译出来的libcms.so文件的ELF heade

最低0.47元/天 解锁文章
Android动态调试sodump内存数据
六桥风月IT随笔
07-26 6765
1.配置环境 一台已root手机 IDA pro6.6 Android SDK 准备工作: 1.1把Android SDK添加到环境变量中 1.2把已root手机的系统中关键so拖到本地,必要时可以静态读取,获取系统函数的偏移地址。 例如把手机系统的system/lib的文件拖到本地debugging文件夹中。 adb pull /system/lib .\debugging\li
Android so文件的区节section修复代码分析
墨鱼菜鸡
12-16 351
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78818917 一、Android so文件的节表secion修复方案整理 1. 简单粗暴的so加解密实现 https://bbs....
Android逆向系列--Dump So文件
Tasfa的博客
06-08 4602
AndroidDump内存中的数据,比如so文件
GG内存dump so 以及修复
日常技术分享
06-11 4453
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输文件中将文件pull到电脑中查看在文件中找到so内存地址。
Yang神 dump so修复
Codeooo 博客
12-20 9094
针对加密so进行解密修复,在内存中还原so文件,让ida可识别;
android dump 完整so,Android dump .so 文件crash log
weixin_39658900的博客
05-27 436
众所周知,在android系统上,有时候我们遇到so文件的crash只能打log,但是很多时候并知道crash在什么地方,幸运的是crash后,一般可以产生一个.dmp文件。我们可以根据这个文件来得到更为详细的statck trace。主要用的就是google提供的一些方法,命令太复杂,很容易错,所以我写了一个python脚本,简化步骤。详情可以参考 https://code.google.c...
Android dump .so 文件crash log
aofan9566的博客
11-10 126
众所周知,在android系统上,有时候我们遇到so文件的crash仅仅能打log,可是非常多时候并知道crash在什么地方,幸运的是crash后,一般能够产生一个.dmp文件。 我们能够依据这个文件来得到更为具体的statck trace。 主要用的就是google提供的一些方法,命令太复杂,非常easy错,所以我写了一个python脚本,简化步骤。 详情能够參考 h...
一款通用化Android的脱壳工具,主要针对的仍是第2代壳(so本地加密型) 附有源碼 及概念設計機制 適合移動手機資訊人員閱讀
04-01
Android加固應用逆向分析技術文件及源碼深入分析 ZIP檔案有吴博脱壳--Android加固应用脱壳技术研究的論文及Android SO壳的发展历程和常见Android SO加壳思路以及对应的脱壳思路
java安卓辅助源码-android-reverse:安卓逆向工具汇总/AwsomeAndroidReverseTools
06-04
java安卓辅助源码 安卓逆向工具汇总 / Awsome Android Reverse Tools 脱壳 / Unshell 安卓xposed脱壳工具 ...ClassLoader的loadClass方法,反射调用getDex方法...修复相关(支持内存 dump sosection 修复) 原理: 编
android百度脱壳,[原创]百度加固逆向分析
weixin_39639505的博客
05-26 1229
最近一直在研究百度壳,发现网上这方面的资料非常少。所以我把自己做的发来跟大家分享,共同学习进步。下面开始:一、init_array我们发现init_array中存在多个函数地址,JNI_Onload为加密状态动态调试在init_array上下断跟着进入一个大循环。发现他在此处对so进行了抹头操作。之后遇到反调试崩溃退。后来发现反调试检测了以下字段:android_servergdbserver...
从零打造简单SODUMP工具--init_array自解密
04-03
针对基于init_array自解密这种方式,写了一个简单DUMP工具,将之前的section重建加入,并对PLT 和 GOT section重建进行优化,达到更加准确的重建效果。 v0.1版本: 仅支持section未移动的SO重建,能简单检测部分DIY SO。 使用说明: 最好将SO文件push到/data/local/tmp目录下,比如libxxx.so,只需在EditText输入:xxx,前后缀自动补全。如果放在/data/local/tmp目录下,则需要输入全路径。DUMP后的SO文件存放在/sdcard/dump.so中。
xAnSo:Android So文件浏览修复工具
05-09
Android So文件浏览修复工具 项目为什么选择C++ 一开始整个项目是用Python写的, 考虑到Python上有很多成熟的库可以直接使用,代码写起来会比较方便,但是真的开始往下写的时候发现,光是各种类型定义就要耗费很多的精力,并且很多逻辑就是从Android的源码中进行代码精简来的, 这个时候直接借鉴Android源码比再翻译成Python要快得多 项目原则 代码风格尽量遵循google style代码风格 Android系统源码中可以借鉴的代码,尽量直接借鉴 Core中核心代码要做到平台无关性 So文件浏览 显示Elf 头 显示Program 头 显示SectionSo文件修复 完全无Section信息修复
dump解密后的so并修改原so
林羽的博客
06-06 4707
先执行IDA动态调试步骤 在JNI_ONLOAD下断点,越往后越好,按ctrl+s查看节点信息,后面的R表示读,W表示写,X表示执行 我们需要的so变成了三个部分,第一个RX表示里面是代码区,对我们没用,最主要的是找到原so文件中被混淆的数据区,其实只需要 RW 复制上图中的start和end的值到文件中,后面用,执行脚本把so dump来,如下图,start和end替换成上图中的值,然后点击run即可dump来,代码如下 static main(void) { auto fp, start, e
Frida进行AndroidSo文件dump
最新发布
u012871930的博客
12-13 1358
文件执行的命令为:frida -U -f com.*** -l android_dlopen_ext.js。file_path是文件路径,其中com***是应用包名。其中soName是我们要进行dumpso文件名称。com.***则是要注入的包名。
推荐开源项目:Android So文件浏览修复工具
gitblog_00067的博客
05-23 443
推荐开源项目:Android So文件浏览修复工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在Android开发的世界里,So文件(动态链接库)扮演着至关重要的角色,它们包含了设备运行时所需的原生代码。然而,处理和修复损坏或缺失信息的So文件是一项简单的任务。这就是我们要向您推荐的开源项目——一个专为Android设计的So文件浏览和修复工具。它采用C++编...
360加固之libjiagu.so dump修复
热门推荐
燕十二的BLOG
11-20 1万+
一、elfheader修复 dump来的内存如下图所示,elf header结构有缺失 下面是正常elf头的对比图 下面是010editor对正常elf header的解析     由上图可知,dump来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。    过这里缺失的,除了e_shoff, e_shnum, e_sh
[Android]生成heap dump文件(.hprof)
weixin_33728268的博客
04-24 512
Android生成heap dump文件(.hprof)一个heap dump就是一个程序heap的快照,能够获知程序的哪些部分正在使用大部分的内存。它保存为一种叫做HPROF的二进制格式。对于Android运行android.os.Debug.dumpHprofData(hprofPath)方法后所生成的文件,须要把.hprof文件从Dalvik格式转换成J2SE HPROF格式。使用And...
开源一个IDA小插件:修复VMP dump导入函数
yan_star的博客
01-19 2873
简述: 通常我们在静态分析vmp加壳后的程序或者驱动时,都会选择将其跑开然后看dump文件。但是vmp会将某些函数地址进行混淆,所以当我们想看一个函数时,常常会见到如下图所示代码段: 面对上述情况,我之前一般都是默默的打开计算器,人肉去算地址,然后看落在哪个模块上,把对应模块扣来,改基址,接着根据算的地址看是哪个对应函数,最后回到dump文件,将名字标上!算一个,两个还能忍,但是当面对无数这样的函数,甚至说你算到最后发现竟然是之前已经标过的函数时,头已经大了。 于是,在经历这样的折磨之后,写了一个ID
Windows环境下解析Android Dump文件的ramdump-parse工具使用教程
Android设备的内存转储文件,即Ramdump,包含了内存中的系统和应用程序状态,是分析系统崩溃和性能问题的重要工具。 本文将详细解析如何在Windows环境下使用ramdump-parse工具对Android设备的Ramdump文件进行解析。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值