[原创]从零打造简单的SODUMP工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]从零打造简单的SODUMP工具

发表于: 2014-11-4 22:28 41261

[原创]从零打造简单的SODUMP工具

ThomasKing 活跃值

2014-11-4 22:28

41261

小弟最近学习了下加、脱壳的一些基本原理。针对基于init_array自解密这种方式，写了一个简单的DUMP工具，将之前的section重建加入，并对PLT 和 GOT section重建进行优化，达到更加准确的重建效果。实现原理见附件，具体效果就自己测试吧。限于水平，难免会有一些不足和疏漏之处，请各位大大批评指正，小弟感激不尽！
-----------------------------------------------------------------------------
v0.1版本：仅支持section未移动的SO重建，能简单检测出部分DIY SO。
使用说明：
最好将SO文件push到/data/local/tmp目录下，比如libxxx.so，只需在EditText输入：xxx，前后缀自动补全。如果不放在/data/local/tmp目录下，则需要输入全路径。DUMP后的SO文件存放在/sdcard/dump.so中。

注：使用本工具所造成的一些后果与作者无关。使用即同意此项

附上一些测试效果图：
http://bbs.pediy.com/showthread.php?t=190384&viewgoodnees=1&prefixid= 帖子中的SO文件：
脱壳前：

脱壳后：

一朋友给的某手游游戏，据说是美杜莎壳。当然，这仅仅只是该壳子的一个很小方面，这壳子很生猛的。
脱壳前：

脱壳后：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

3脱壳前.png （21.14kb，124次下载）
3脱壳后.png （11.30kb，79次下载）
美杜莎脱壳前.png （28.24kb，103次下载）
美杜莎脱壳后.png （23.81kb，100次下载）
从零打造简单的SODUMP工具.pdf （1.16MB，1968次下载）
SODumpHelper.apk （849.03kb，2300次下载）

收藏・78

免费・3

支持

最新回复 (38) 1 2 ▶
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2 楼多谢分享，值得学习下 2014-11-4 22:35 0
wenboxu 雪币： 130 活跃值： (59) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 24 粉丝 0 关注私信	wenboxu 2 3 楼多谢分享 2014-11-4 23:02 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 4 楼 mark,学习了 2014-11-4 23:59 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 5 楼楼主好人顶起 2014-11-5 08:55 0
kxzb 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 84 粉丝 0 关注私信	kxzb 6 楼安卓的，学习下 2014-11-5 09:36 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 7 楼表示从来都是直接内存dump，然后把elf header修一下就行了。什么什么表的，看着就头痛 2014-11-5 09:57 1
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 8 楼 good job 2014-11-5 09:57 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 9 楼楼主，第一个so是谁的？ 2014-11-5 10:01 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 10 楼额，第一个SO是上面链接帖子的，具体你转那帖子去看下 2014-11-5 10:22 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 11 楼我这边有个加固过的so，要不帮忙脱一下？ 2014-11-5 10:25 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 12 楼额，这个得靠你自己 2014-11-5 10:34 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 13 楼 so脱出来不能运行吧。 2014-11-5 10:35 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 14 楼我写的壳，我应该知道怎么脱了。。。。。。 2014-11-5 10:36 0
cqzhou 雪币： 4522 活跃值： (2146) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 219 粉丝 1 关注私信	cqzhou 15 楼说好的从零开始我怎么看不懂呢 2014-11-5 10:51 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 16 楼嗯，代码都解密了，你运行再解一次。。。 2014-11-5 12:57 0
zqwhty 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zqwhty 17 楼大神们有没有apk的免杀或加壳的,小弟刚接触这个...很不理解啊...网上找的教程都是什么Pe的,apk文件不支持 2014-11-5 12:59 0
zhutanbai 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	zhutanbai 18 楼值得学习下。 2014-11-5 13:11 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 19 楼王总真是越来越腻害啦！拜读~ 2014-11-5 13:33 0
glucose 雪币： 245 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	glucose 1 20 楼挺好, 就是dump出来方法名都对了, 方法内函数体还是乱码. 2014-11-5 14:52 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 21 楼额，仅支持脱init_array的自解密。函数体还是乱码，说明不是init_array的自解密。。。 2014-11-5 15:47 0
诗函雪币： 214 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	诗函 22 楼感谢技术贴。so脱壳感觉比反编容易多了 2014-11-5 16:01 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 23 楼学习！！ 2014-11-5 22:18 0
hqsfang 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	hqsfang 24 楼学习 2014-11-5 23:13 0
eastmaster 雪币： 614 活跃值： (883) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 154 粉丝 3 关注私信	eastmaster 25 楼不错，顶一个！ 2015-11-6 17:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ThomasKing

发帖

205

回帖

310

RANK

关注

私信

他的文章

来自高纬的对抗 - 逆向TinyTool自制 8646
[原创]CVE-2015-8966/AndroidID-31435731 9873
[原创]记一次混淆算法逆向分析 12948
[原创]InlineHook更新 15666
[原创]JNINativeInterfaceHook & trace 25258

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2 楼多谢分享，值得学习下 2014-11-4 22:35 0
wenboxu 雪币： 130 活跃值： (59) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 24 粉丝 0 关注私信	wenboxu 2 3 楼多谢分享 2014-11-4 23:02 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 4 楼 mark,学习了 2014-11-4 23:59 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 5 楼楼主好人顶起 2014-11-5 08:55 0
kxzb 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 84 粉丝 0 关注私信	kxzb 6 楼安卓的，学习下 2014-11-5 09:36 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 7 楼表示从来都是直接内存dump，然后把elf header修一下就行了。什么什么表的，看着就头痛 2014-11-5 09:57 1
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 8 楼 good job 2014-11-5 09:57 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 9 楼楼主，第一个so是谁的？ 2014-11-5 10:01 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 10 楼额，第一个SO是上面链接帖子的，具体你转那帖子去看下 2014-11-5 10:22 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 11 楼我这边有个加固过的so，要不帮忙脱一下？ 2014-11-5 10:25 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 12 楼额，这个得靠你自己 2014-11-5 10:34 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 13 楼 so脱出来不能运行吧。 2014-11-5 10:35 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 14 楼我写的壳，我应该知道怎么脱了。。。。。。 2014-11-5 10:36 0
cqzhou 雪币： 4522 活跃值： (2146) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 219 粉丝 1 关注私信	cqzhou 15 楼说好的从零开始我怎么看不懂呢 2014-11-5 10:51 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 16 楼嗯，代码都解密了，你运行再解一次。。。 2014-11-5 12:57 0
zqwhty 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zqwhty 17 楼大神们有没有apk的免杀或加壳的,小弟刚接触这个...很不理解啊...网上找的教程都是什么Pe的,apk文件不支持 2014-11-5 12:59 0
zhutanbai 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	zhutanbai 18 楼值得学习下。 2014-11-5 13:11 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 19 楼王总真是越来越腻害啦！拜读~ 2014-11-5 13:33 0
glucose 雪币： 245 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	glucose 1 20 楼挺好, 就是dump出来方法名都对了, 方法内函数体还是乱码. 2014-11-5 14:52 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 171 关注私信	ThomasKing 6 21 楼额，仅支持脱init_array的自解密。函数体还是乱码，说明不是init_array的自解密。。。 2014-11-5 15:47 0
诗函雪币： 214 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	诗函 22 楼感谢技术贴。so脱壳感觉比反编容易多了 2014-11-5 16:01 0
mingxuan三千雪币： 76 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 195 粉丝 0 关注私信	mingxuan三千 23 楼学习！！ 2014-11-5 22:18 0
hqsfang 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	hqsfang 24 楼学习 2014-11-5 23:13 0
eastmaster 雪币： 614 活跃值： (883) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 154 粉丝 3 关注私信	eastmaster 25 楼不错，顶一个！ 2015-11-6 17:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复