[分享]libmobisec.so动态节区分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]libmobisec.so动态节区分析

2015-3-9 15:37 20757

[分享]libmobisec.so动态节区分析

Matrix

2015-3-9 15:37

20757

lizhiming(知鸣)很狡猾，小手一抖，各种分析工具凌乱了。

分析见附件

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

aliCrackme4.pdf （346.60kb，572次下载）

收藏・11

点赞・0

打赏

最新回复 (19)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1269 粉丝 2 关注私信	exile 1 2015-3-9 15:55 2 楼 0 好屌啊。。
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 2015-3-9 16:34 3 楼 0 一种常用反分析技巧
少仲雪币： 219 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 47 粉丝 2 关注私信	少仲 2015-3-9 18:20 4 楼 0 直接暴露姓名是不是不太好...
ThomasKing 雪币： 370 活跃值： (1181) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 207 粉丝 156 关注私信	ThomasKing 6 2015-3-9 22:01 5 楼 0 和某公司的SO修改类似^_^
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-10 14:16 6 楼 0 不改分析代码, 只改 so 可以吗？
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-10 15:17 7 楼 0 0CCh-mark..
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-10 15:18 8 楼 0 你这么水帖子。。还不如多写点东西给大家学习学习
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 2015-3-19 21:59 9 楼 0 什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。上传的附件： Capture.PNG （93.75kb，24次下载）
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-21 02:49 10 楼 0 我发现它不是甚麼特殊保护，只是用另一ELF观展示。因為一般工具用link方法解读可重定位代码，然而它用 loadable (已经过linking) 代码展示。另外 .Alibaba 从0x140024 拷贝长度 0x2E 到 0x1D868E 把 "This ELF protected by AliBaBa zhiming (知鸣)!" 覆盖。现因没有把代码修復，没法分析下去。上传的附件： libmobisec.jpg （104.39kb，76次下载）
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-23 18:30 11 楼 0 求份工具 Ce 图中的工具方便么
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-24 00:34 12 楼 0 I will upload a copy to Baidu. http://cerbero.io/profiler/
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-24 01:03 13 楼 0 百度云开放三天。
potop 雪币： 216 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 99 粉丝 0 关注私信	potop 2015-3-26 17:18 14 楼 0 试用，CE貌似挺强大！支持WinDos2K
wfgfw 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wfgfw 2015-3-30 18:45 15 楼 0 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] readelf读出来的section里的值都是假的，通过还原的dynamic段拿到的才是真的，感觉像是把原so变形之后放在第二个PT_LOAD段里面了，所以dynamic段中索引的东西的偏移都在第二个PT_LOAD段中，分析文件格式后有感。。。
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 101 粉丝 0 关注私信	heartbeast 2015-4-12 21:51 16 楼 0 混进高手帖子中。。。
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-4-16 13:33 17 楼 0 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] 可否上载已改的 libmobisec.so 看看?
ShadoWWinL 雪币： 244 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 2015-4-16 21:59 18 楼 0 冰山一角
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 2015-4-17 15:53 19 楼 0 支持下，，，，，，，，，，，，
南山瘦竹雪币： 6 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	南山瘦竹 2015-4-17 18:11 20 楼 0 学习学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Matrix

发帖

回帖

RANK

关注

私信

他的文章

[分享]libmobisec.so动态节区分析

ollyscript使用的问题

谁有破解mde文件的经验?

[求助]关于重定位

继vcasm后的招聘（觉得这样比较显著，就再发一次）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1269 粉丝 2 关注私信	exile 1 2015-3-9 15:55 2 楼 0 好屌啊。。
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 3 关注私信	cacorothuo 2015-3-9 16:34 3 楼 0 一种常用反分析技巧
少仲雪币： 219 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 47 粉丝 2 关注私信	少仲 2015-3-9 18:20 4 楼 0 直接暴露姓名是不是不太好...
ThomasKing 雪币： 370 活跃值： (1181) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 207 粉丝 156 关注私信	ThomasKing 6 2015-3-9 22:01 5 楼 0 和某公司的SO修改类似^_^
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-10 14:16 6 楼 0 不改分析代码, 只改 so 可以吗？
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-10 15:17 7 楼 0 0CCh-mark..
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-10 15:18 8 楼 0 你这么水帖子。。还不如多写点东西给大家学习学习
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 2015-3-19 21:59 9 楼 0 什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。上传的附件： Capture.PNG （93.75kb，24次下载）
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-21 02:49 10 楼 0 我发现它不是甚麼特殊保护，只是用另一ELF观展示。因為一般工具用link方法解读可重定位代码，然而它用 loadable (已经过linking) 代码展示。另外 .Alibaba 从0x140024 拷贝长度 0x2E 到 0x1D868E 把 "This ELF protected by AliBaBa zhiming (知鸣)!" 覆盖。现因没有把代码修復，没法分析下去。上传的附件： libmobisec.jpg （104.39kb，76次下载）
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 269 粉丝 12 关注私信	Ericky 6 2015-3-23 18:30 11 楼 0 求份工具 Ce 图中的工具方便么
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-24 00:34 12 楼 0 I will upload a copy to Baidu. http://cerbero.io/profiler/
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-3-24 01:03 13 楼 0 百度云开放三天。
potop 雪币： 216 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 99 粉丝 0 关注私信	potop 2015-3-26 17:18 14 楼 0 试用，CE貌似挺强大！支持WinDos2K
wfgfw 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wfgfw 2015-3-30 18:45 15 楼 0 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] readelf读出来的section里的值都是假的，通过还原的dynamic段拿到的才是真的，感觉像是把原so变形之后放在第二个PT_LOAD段里面了，所以dynamic段中索引的东西的偏移都在第二个PT_LOAD段中，分析文件格式后有感。。。
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 101 粉丝 0 关注私信	heartbeast 2015-4-12 21:51 16 楼 0 混进高手帖子中。。。
WinDos2K 雪币： 267 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 2015-4-16 13:33 17 楼 0 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] 可否上载已改的 libmobisec.so 看看?
ShadoWWinL 雪币： 244 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 2015-4-16 21:59 18 楼 0 冰山一角
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 2015-4-17 15:53 19 楼 0 支持下，，，，，，，，，，，，
南山瘦竹雪币： 6 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	南山瘦竹 2015-4-17 18:11 20 楼 0 学习学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复