[原创]简单粗暴的so加解密实现-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]简单粗暴的so加解密实现

发表于: 2014-8-26 21:42 167550

[原创]简单粗暴的so加解密实现

ThomasKing 活跃值

2014-8-26 21:42

167550

查看主题内容

收藏・281

免费・25

支持

最新回复 (116) ◀ 1 2 3 4 5 ▶
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 76 楼求教.text整体加密怎么实现的？main()函数前loader的流程是： loader \| preinitarray main() \| _start \| __libc_start_main \| __libc_csu_init \| _init initarray \| __gmon_start__ frame_dummy _do_global_ctors_arx \| constructor 像__libc_start_main，frame_dummy都是在.text段里的，上面的解密代码是放到constructor里面，所以lz的这种方式肯定不行。想过把解密放到.preinit_array里面，但so不能用。 /tmp/cc4FLmj3.s:51: Warning: setting incorrect section attributes for .preinit_array /usr/bin/ld: /tmp/ccUg8wkx.o: .preinit_array section is not allowed in DSO 求教 2016-2-18 11:09 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 77 楼单个函数加密代码调了半天。结果发现DT_GNU_HASH跟DT_HASH结构完全不一样，这代码在PC的linux上跑不了，都不用DT_HASH了 2016-2-22 09:23 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 78 楼谢谢写的很清楚，多谢啦 2016-2-22 11:48 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 79 楼非常给力的一篇文章,写一下，关于函数加密，怎么找到函数的过程首先遍历progame，发现有7个段，遍历类型当为phdr.p_type == PT_DYNAMIC时候，就转到偏移处0x2e80，大小为0x100 从0x2e80处读sizeof(Elf32_Dyn)=8个字节循环0x100/8=20次分别找到 dyn.d_tag == DT_SYMTAB dyn.d_un.d_ptr为dyn_symtab地址0x114 dyn.d_tag == DT_STRSZ为dynstr段的大小 dyn.d_tag == DT_HASH为 dyn.d_un.d_ptr为hash段地址，0xb7c 从hash得到funcindex，然后用dyn_symtab + funIndex * sizeof(Elf32_Sym)找到我们要加密的函数名的(Elf32_Sym结构，其中(Elf32_Sym)+st_name typedef struct elf32_sym{ Elf32_Word st_name; Elf32_Addr st_value; Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Half st_shndx; } Elf32_Sym; funIndex是用funHash % nbucket4+hash段的首地址=294+hash段的首地址=294+0xb7c=0xBF0处存放的4个字节=75 nbucket为hash段的第一个四字节处 dyn_symtab存放首地址///[ 1] .dynsym DYNSYM 00000114 000114 0004c0 dyn_symtab + funIndex sizeof(Elf32_Sym)=0x114+75*16=0x5c4处存放着字符串 Java_com_example_shelldemo2_MainActivity_getString ，然后对他st_info进行取反操作 2016-4-15 19:50 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 80 楼谢谢写的非常好，里面包含怎么从一个so文件里面找到我们要的函数，作者你太给力了，下面省略一万个赞 2016-4-15 19:54 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 81 楼相当的给力晚上不知道吃什么好，激动中 2016-4-15 20:01 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 82 楼没有啊，我这里等于3 9332 / 4096 + (9332 % 4096 == 0 ? 0 : 1)=3 你要不要多打几个日志看看 2016-4-15 20:05 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 83 楼提的问相当的给力，回答也相当的有道理！！ 2016-4-15 20:06 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 84 楼估计是手机没有root吧，这里是把base开始的第三个页的权限改成可读可写可执行，方便后面对content取反 2016-4-15 20:10 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 85 楼大神啊，怎么对整个text加密呢，是不是把text加密了，但是除了init_array不加密，把解密的函数卸载init_array里面呢，还是说在System.loadLibrary("demo");执行之前对demo.so执行解密呢，大大有空看到就麻烦教一下我拉- 2016-4-15 20:14 0
步平凡雪币： 34 活跃值： (50) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 97 粉丝 1 关注私信	步平凡 86 楼好文章，支持~~！ 2016-4-16 00:27 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 87 楼 syscall(0xf0002, addr, end); 2016-4-25 14:28 0
gugubupt 雪币： 93 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 77 粉丝 0 关注私信	gugubupt 88 楼楼主的第二种基于函数的加密方法我在尝试的时候总是报错。 A/libc: Fatal signal 11 (SIGSEGV) at 0x7196f000 (code=2), thread 28996 这种说是数组越界或者野指针的问题，我照着楼主的方法写的啊。出现问题的代码是解密部分。有人有一样的问题吗？ for(i=0;i< info.st_size - 1; i++){ char addr = (char)(base + info.st_value -1 + i); addr = ~(addr); } 2016-5-12 18:30 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 89 楼 e_phoff = sizeof(e_ehsize); 是否有误？？应该是 e_phoff = e_ehsize 2016-7-1 14:25 0
青山化桥雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	青山化桥 90 楼学习到啦，谢谢楼主 2016-10-13 19:23 0
张李政雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	张李政 91 楼 Program header位于ELF header后面，Section Header位于ELF文件的尾部。那可以推出：e_phoff = sizeof(e_ehsize); 有个问题不是除了EH 其他位置的顺序都不是固定的吗？ 2016-11-4 13:02 0
亡灵wl 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	亡灵wl 92 楼 xiaogangha 有没有人遇到过。。程序报错 02-04 08:40:32.481: A/libc(948): Fatal signal 4 (SIGILL) at 0x4a2c13de (code=1), threa ... 怎么解决的，我也是报这个 2017-2-19 13:05 0
ifnt 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ifnt 93 楼大神你好我用下载的demo在google pixel android7.1.1上报错 java.lang.UnsatisfiedLinkError: dlopen failed: "/data/app/com.thomas.crackmeso-1/lib/arm/libverify.so" has invalid shdr offset/size: 12632/2160 2017-3-10 11:46 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 94 楼支持！！！！！！ 2017-3-19 02:58 0
方振箱包雪币： 2 能力值： (RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	方振箱包 95 楼路过 2017-3-24 09:39 0
倔强石头雪币： 154 活跃值： (602) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 27 粉丝 20 关注私信	倔强石头 1 96 楼 Colbert仔整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum * size ... 整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum *e_shentsize ,地址从0开始 2017-4-19 11:05 0
fengwuhui 雪币： 3 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	fengwuhui 97 楼 ThomasKing 额。不知道，求教。你好，我在调试你这个crackME的时候，最后在Java_com_thomas_crackmeso_MainActivity_verify下断点的时候，运行起来，总是有段错误，你是有加反调试吗？ 2017-7-13 16:12 0
刘毅liuyi 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	刘毅liuyi 98 楼用这里描述的方法，加密自己从apk里面加压出来的lib\armeabi\libnative-lib.so的函数checkSignature，发现找不到函数。请各大神赐教！非常感谢！这里有问题的描述，有分送哦：http://ask.csdn.net/questions/660217 2017-9-29 15:27 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 99 楼不错！！！！！！！！ 2017-9-29 19:59 0
wulameng 雪币： 237 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wulameng 100 楼 Colbert仔整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum * size ... 我自己试了一下怎么是e_shoff + e_shnum * sizeof(e_shentsize) 2018-3-16 17:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ThomasKing

发帖

205

回帖

310

RANK

关注

私信

他的文章

来自高纬的对抗 - 逆向TinyTool自制 8646
[原创]CVE-2015-8966/AndroidID-31435731 9873
[原创]记一次混淆算法逆向分析 12947
[原创]InlineHook更新 15666
[原创]JNINativeInterfaceHook & trace 25257

关于我们

联系我们

企业服务

看雪公众号

最新回复 (116) ◀ 1 2 3 4 5 ▶
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 76 楼求教.text整体加密怎么实现的？main()函数前loader的流程是： loader \| preinitarray main() \| _start \| __libc_start_main \| __libc_csu_init \| _init initarray \| __gmon_start__ frame_dummy _do_global_ctors_arx \| constructor 像__libc_start_main，frame_dummy都是在.text段里的，上面的解密代码是放到constructor里面，所以lz的这种方式肯定不行。想过把解密放到.preinit_array里面，但so不能用。 /tmp/cc4FLmj3.s:51: Warning: setting incorrect section attributes for .preinit_array /usr/bin/ld: /tmp/ccUg8wkx.o: .preinit_array section is not allowed in DSO 求教 2016-2-18 11:09 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 77 楼单个函数加密代码调了半天。结果发现DT_GNU_HASH跟DT_HASH结构完全不一样，这代码在PC的linux上跑不了，都不用DT_HASH了 2016-2-22 09:23 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 78 楼谢谢写的很清楚，多谢啦 2016-2-22 11:48 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 79 楼非常给力的一篇文章,写一下，关于函数加密，怎么找到函数的过程首先遍历progame，发现有7个段，遍历类型当为phdr.p_type == PT_DYNAMIC时候，就转到偏移处0x2e80，大小为0x100 从0x2e80处读sizeof(Elf32_Dyn)=8个字节循环0x100/8=20次分别找到 dyn.d_tag == DT_SYMTAB dyn.d_un.d_ptr为dyn_symtab地址0x114 dyn.d_tag == DT_STRSZ为dynstr段的大小 dyn.d_tag == DT_HASH为 dyn.d_un.d_ptr为hash段地址，0xb7c 从hash得到funcindex，然后用dyn_symtab + funIndex * sizeof(Elf32_Sym)找到我们要加密的函数名的(Elf32_Sym结构，其中(Elf32_Sym)+st_name typedef struct elf32_sym{ Elf32_Word st_name; Elf32_Addr st_value; Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Half st_shndx; } Elf32_Sym; funIndex是用funHash % nbucket4+hash段的首地址=294+hash段的首地址=294+0xb7c=0xBF0处存放的4个字节=75 nbucket为hash段的第一个四字节处 dyn_symtab存放首地址///[ 1] .dynsym DYNSYM 00000114 000114 0004c0 dyn_symtab + funIndex sizeof(Elf32_Sym)=0x114+75*16=0x5c4处存放着字符串 Java_com_example_shelldemo2_MainActivity_getString ，然后对他st_info进行取反操作 2016-4-15 19:50 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 80 楼谢谢写的非常好，里面包含怎么从一个so文件里面找到我们要的函数，作者你太给力了，下面省略一万个赞 2016-4-15 19:54 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 81 楼相当的给力晚上不知道吃什么好，激动中 2016-4-15 20:01 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 82 楼没有啊，我这里等于3 9332 / 4096 + (9332 % 4096 == 0 ? 0 : 1)=3 你要不要多打几个日志看看 2016-4-15 20:05 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 83 楼提的问相当的给力，回答也相当的有道理！！ 2016-4-15 20:06 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 84 楼估计是手机没有root吧，这里是把base开始的第三个页的权限改成可读可写可执行，方便后面对content取反 2016-4-15 20:10 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 85 楼大神啊，怎么对整个text加密呢，是不是把text加密了，但是除了init_array不加密，把解密的函数卸载init_array里面呢，还是说在System.loadLibrary("demo");执行之前对demo.so执行解密呢，大大有空看到就麻烦教一下我拉- 2016-4-15 20:14 0
步平凡雪币： 34 活跃值： (50) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 97 粉丝 1 关注私信	步平凡 86 楼好文章，支持~~！ 2016-4-16 00:27 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 87 楼 syscall(0xf0002, addr, end); 2016-4-25 14:28 0
gugubupt 雪币： 93 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 77 粉丝 0 关注私信	gugubupt 88 楼楼主的第二种基于函数的加密方法我在尝试的时候总是报错。 A/libc: Fatal signal 11 (SIGSEGV) at 0x7196f000 (code=2), thread 28996 这种说是数组越界或者野指针的问题，我照着楼主的方法写的啊。出现问题的代码是解密部分。有人有一样的问题吗？ for(i=0;i< info.st_size - 1; i++){ char addr = (char)(base + info.st_value -1 + i); addr = ~(addr); } 2016-5-12 18:30 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 89 楼 e_phoff = sizeof(e_ehsize); 是否有误？？应该是 e_phoff = e_ehsize 2016-7-1 14:25 0
青山化桥雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	青山化桥 90 楼学习到啦，谢谢楼主 2016-10-13 19:23 0
张李政雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	张李政 91 楼 Program header位于ELF header后面，Section Header位于ELF文件的尾部。那可以推出：e_phoff = sizeof(e_ehsize); 有个问题不是除了EH 其他位置的顺序都不是固定的吗？ 2016-11-4 13:02 0
亡灵wl 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	亡灵wl 92 楼 xiaogangha 有没有人遇到过。。程序报错 02-04 08:40:32.481: A/libc(948): Fatal signal 4 (SIGILL) at 0x4a2c13de (code=1), threa ... 怎么解决的，我也是报这个 2017-2-19 13:05 0
ifnt 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ifnt 93 楼大神你好我用下载的demo在google pixel android7.1.1上报错 java.lang.UnsatisfiedLinkError: dlopen failed: "/data/app/com.thomas.crackmeso-1/lib/arm/libverify.so" has invalid shdr offset/size: 12632/2160 2017-3-10 11:46 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 94 楼支持！！！！！！ 2017-3-19 02:58 0
方振箱包雪币： 2 能力值： (RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	方振箱包 95 楼路过 2017-3-24 09:39 0
倔强石头雪币： 154 活跃值： (602) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 27 粉丝 20 关注私信	倔强石头 1 96 楼 Colbert仔整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum * size ... 整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum *e_shentsize ,地址从0开始 2017-4-19 11:05 0
fengwuhui 雪币： 3 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	fengwuhui 97 楼 ThomasKing 额。不知道，求教。你好，我在调试你这个crackME的时候，最后在Java_com_thomas_crackmeso_MainActivity_verify下断点的时候，运行起来，总是有段错误，你是有加反调试吗？ 2017-7-13 16:12 0
刘毅liuyi 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	刘毅liuyi 98 楼用这里描述的方法，加密自己从apk里面加压出来的lib\armeabi\libnative-lib.so的函数checkSignature，发现找不到函数。请各大神赐教！非常感谢！这里有问题的描述，有分送哦：http://ask.csdn.net/questions/660217 2017-9-29 15:27 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 99 楼不错！！！！！！！！ 2017-9-29 19:59 0
wulameng 雪币： 237 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wulameng 100 楼 Colbert仔整个ELF文件大小 = e_shoff + e_shnum * sizeof(e_shentsize) + 1 应该为整个ELF文件大小 = e_shoff + e_shnum * size ... 我自己试了一下怎么是e_shoff + e_shnum * sizeof(e_shentsize) 2018-3-16 17:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复