[求助]Android apk中lib/.so檔分析-智能设备-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-2-11 09:48 2 楼 0 主要是标红的字段是错的。你可以把第一个填成0. 如果要修复的话，你得找到原始的位置（ps：比较难，如果他没抹掉的话）。如果要IDA不提示，你直接把第一个改成0. 上传的附件：无标题.png （40.28kb，154次下载）
chips 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	chips 2014-2-11 14:10 3 楼 0 [QUOTE=yezhulove;1260272] 主要是标红的字段是错的。你可以把第一个填成0. 如果要修复的话，你得找到原始的位置（ps：比较难，如果他没抹掉的话）。如果要IDA不提示，你直接把第一个改成0.[/QUOTE] 这个截图在winhex中的哪里打开的？
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-2-12 15:07 4 楼 0 自己给elf写个模板，就可以 template "ELF file format" description "ELF file format" applies_to file fixed_start 0 requires 0x00 "7F 45 4C 46" begin section "ELF Header" read-only char[16] "e_ident" read-only hexadecimal uint16 "e_type" read-only hexadecimal uint16 "e_machine" read-only hexadecimal uint32 "e_version" read-only hexadecimal uint32 "e_entry" read-only hexadecimal uint32 "e_phoff" hexadecimal uint32 "e_shoff" read-only hexadecimal uint32 "e_flags" read-only hexadecimal uint16 "e_ehsize" read-only hexadecimal uint16 "e_phentsize" read-only hexadecimal uint16 "e_phnum" read-only hexadecimal uint16 "e_shentsize" uint16 "e_shnum" uint16 "e_shstrndx" goto "e_phoff" { section "Program header #~" hexadecimal uint32 "p_type" hexadecimal uint32 "p_offset" hexadecimal uint32 "p_vaddr" hexadecimal uint32 "p_paddr" hexadecimal uint32 "p_filesz" hexadecimal uint32 "p_memsz" hexadecimal uint32 "p_flags" hexadecimal uint32 "p_align" }[e_phnum] end
leepupu 雪币： 32 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	leepupu 2014-2-15 11:02 5 楼 0 感谢大牛指点！ IDA 可以解析了不过函数名称都是编号大概要从系统调用入手吗? 没有静态调试经验只用OD在win上动态分析过求指点
忆海拾贝雪币： 86 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 65 粉丝 0 关注私信	忆海拾贝 2014-3-5 15:26 6 楼 0 这个应该是把值改成了0，IDA不报错了，但是表错了，ida的识别就有问题了，看样子得修复这个值为正确的大小，暂时不理解这是哪块区域的大小，你解决了么，我是在看Gamevil的游戏的时候发现了他们修改so所用到的手法，这种so加载的时候不会有问题么，希望大牛出来分析一下
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-3-6 13:28 7 楼 0 SO不一定都会有符号的，可以去掉，而且节是给链接器用的，可以测底抹掉，段才是给加载器用的。所以没办法修回去的。
星池雪币： 5 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	星池 2014-3-13 00:08 8 楼 0 兄弟，看下我这个怎么搞？怀疑是加密了 http://bbs.pediy.com/showthread.php?t=185516
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-2-11 09:48 2 楼 0 主要是标红的字段是错的。你可以把第一个填成0. 如果要修复的话，你得找到原始的位置（ps：比较难，如果他没抹掉的话）。如果要IDA不提示，你直接把第一个改成0. 上传的附件：无标题.png （40.28kb，154次下载）
chips 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	chips 2014-2-11 14:10 3 楼 0 [QUOTE=yezhulove;1260272] 主要是标红的字段是错的。你可以把第一个填成0. 如果要修复的话，你得找到原始的位置（ps：比较难，如果他没抹掉的话）。如果要IDA不提示，你直接把第一个改成0.[/QUOTE] 这个截图在winhex中的哪里打开的？
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-2-12 15:07 4 楼 0 自己给elf写个模板，就可以 template "ELF file format" description "ELF file format" applies_to file fixed_start 0 requires 0x00 "7F 45 4C 46" begin section "ELF Header" read-only char[16] "e_ident" read-only hexadecimal uint16 "e_type" read-only hexadecimal uint16 "e_machine" read-only hexadecimal uint32 "e_version" read-only hexadecimal uint32 "e_entry" read-only hexadecimal uint32 "e_phoff" hexadecimal uint32 "e_shoff" read-only hexadecimal uint32 "e_flags" read-only hexadecimal uint16 "e_ehsize" read-only hexadecimal uint16 "e_phentsize" read-only hexadecimal uint16 "e_phnum" read-only hexadecimal uint16 "e_shentsize" uint16 "e_shnum" uint16 "e_shstrndx" goto "e_phoff" { section "Program header #~" hexadecimal uint32 "p_type" hexadecimal uint32 "p_offset" hexadecimal uint32 "p_vaddr" hexadecimal uint32 "p_paddr" hexadecimal uint32 "p_filesz" hexadecimal uint32 "p_memsz" hexadecimal uint32 "p_flags" hexadecimal uint32 "p_align" }[e_phnum] end
leepupu 雪币： 32 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	leepupu 2014-2-15 11:02 5 楼 0 感谢大牛指点！ IDA 可以解析了不过函数名称都是编号大概要从系统调用入手吗? 没有静态调试经验只用OD在win上动态分析过求指点
忆海拾贝雪币： 86 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 65 粉丝 0 关注私信	忆海拾贝 2014-3-5 15:26 6 楼 0 这个应该是把值改成了0，IDA不报错了，但是表错了，ida的识别就有问题了，看样子得修复这个值为正确的大小，暂时不理解这是哪块区域的大小，你解决了么，我是在看Gamevil的游戏的时候发现了他们修改so所用到的手法，这种so加载的时候不会有问题么，希望大牛出来分析一下
yezhulove 雪币： 1787 活跃值： (340) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 303 粉丝 1 关注私信	yezhulove 2014-3-6 13:28 7 楼 0 SO不一定都会有符号的，可以去掉，而且节是给链接器用的，可以测底抹掉，段才是给加载器用的。所以没办法修回去的。
星池雪币： 5 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	星池 2014-3-13 00:08 8 楼 0 兄弟，看下我这个怎么搞？怀疑是加密了 http://bbs.pediy.com/showthread.php?t=185516
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复