[分享]libmobisec.so动态节区分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]libmobisec.so动态节区分析

发表于: 2015-3-9 15:37 21439

[分享]libmobisec.so动态节区分析

Matrix

2015-3-9 15:37

21439

lizhiming(知鸣)很狡猾，小手一抖，各种分析工具凌乱了。

分析见附件

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

aliCrackme4.pdf （346.60kb，574次下载）

收藏・11

免费

支持

最新回复 (19)
exile 雪币： 2105 活跃值： (569) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼好屌啊。。 2015-3-9 15:55 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 4 关注私信	cacorothuo 3 楼一种常用反分析技巧 2015-3-9 16:34 0
少仲雪币： 219 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 46 粉丝 2 关注私信	少仲 4 楼直接暴露姓名是不是不太好... 2015-3-9 18:20 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 184 关注私信	ThomasKing 6 5 楼和某公司的SO修改类似^_^ 2015-3-9 22:01 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 6 楼不改分析代码, 只改 so 可以吗？ 2015-3-10 14:16 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 7 楼 0CCh-mark.. 2015-3-10 15:17 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 8 楼你这么水帖子。。还不如多写点东西给大家学习学习 2015-3-10 15:18 0
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 9 楼什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。上传的附件： Capture.PNG （93.75kb，24次下载） 2015-3-19 21:59 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 10 楼我发现它不是甚麼特殊保护，只是用另一ELF观展示。因為一般工具用link方法解读可重定位代码，然而它用 loadable (已经过linking) 代码展示。另外 .Alibaba 从0x140024 拷贝长度 0x2E 到 0x1D868E 把 "This ELF protected by AliBaBa zhiming (知鸣)!" 覆盖。现因没有把代码修復，没法分析下去。上传的附件： libmobisec.jpg （104.39kb，76次下载） 2015-3-21 02:49 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 11 楼求份工具 Ce 图中的工具方便么 2015-3-23 18:30 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 12 楼 I will upload a copy to Baidu. http://cerbero.io/profiler/ 2015-3-24 00:34 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 13 楼百度云开放三天。 2015-3-24 01:03 0
potop 雪币： 216 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 103 粉丝 0 关注私信	potop 14 楼试用，CE貌似挺强大！支持WinDos2K 2015-3-26 17:18 0
wfgfw 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wfgfw 15 楼 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] readelf读出来的section里的值都是假的，通过还原的dynamic段拿到的才是真的，感觉像是把原so变形之后放在第二个PT_LOAD段里面了，所以dynamic段中索引的东西的偏移都在第二个PT_LOAD段中，分析文件格式后有感。。。 2015-3-30 18:45 0
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 105 粉丝 0 关注私信	heartbeast 16 楼混进高手帖子中。。。 2015-4-12 21:51 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 17 楼 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] 可否上载已改的 libmobisec.so 看看? 2015-4-16 13:33 0
ShadoWWinL 雪币： 246 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 18 楼冰山一角 2015-4-16 21:59 0
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 19 楼支持下，，，，，，，，，，，， 2015-4-17 15:53 0
南山瘦竹雪币： 6 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	南山瘦竹 20 楼学习学习 2015-4-17 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Matrix

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
exile 雪币： 2105 活跃值： (569) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼好屌啊。。 2015-3-9 15:55 0
cacorothuo 雪币： 188 活跃值： (167) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 146 粉丝 4 关注私信	cacorothuo 3 楼一种常用反分析技巧 2015-3-9 16:34 0
少仲雪币： 219 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 46 粉丝 2 关注私信	少仲 4 楼直接暴露姓名是不是不太好... 2015-3-9 18:20 0
ThomasKing 雪币： 370 活跃值： (1180) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 205 粉丝 184 关注私信	ThomasKing 6 5 楼和某公司的SO修改类似^_^ 2015-3-9 22:01 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 6 楼不改分析代码, 只改 so 可以吗？ 2015-3-10 14:16 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 7 楼 0CCh-mark.. 2015-3-10 15:17 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 8 楼你这么水帖子。。还不如多写点东西给大家学习学习 2015-3-10 15:18 0
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 9 楼什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。上传的附件： Capture.PNG （93.75kb，24次下载） 2015-3-19 21:59 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 10 楼我发现它不是甚麼特殊保护，只是用另一ELF观展示。因為一般工具用link方法解读可重定位代码，然而它用 loadable (已经过linking) 代码展示。另外 .Alibaba 从0x140024 拷贝长度 0x2E 到 0x1D868E 把 "This ELF protected by AliBaBa zhiming (知鸣)!" 覆盖。现因没有把代码修復，没法分析下去。上传的附件： libmobisec.jpg （104.39kb，76次下载） 2015-3-21 02:49 0
Ericky 雪币： 1185 活跃值： (458) 能力值： ( LV13，RANK：360 ) 在线值：发帖 34 回帖 276 粉丝 14 关注私信	Ericky 6 11 楼求份工具 Ce 图中的工具方便么 2015-3-23 18:30 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 12 楼 I will upload a copy to Baidu. http://cerbero.io/profiler/ 2015-3-24 00:34 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 13 楼百度云开放三天。 2015-3-24 01:03 0
potop 雪币： 216 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 103 粉丝 0 关注私信	potop 14 楼试用，CE貌似挺强大！支持WinDos2K 2015-3-26 17:18 0
wfgfw 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	wfgfw 15 楼 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] readelf读出来的section里的值都是假的，通过还原的dynamic段拿到的才是真的，感觉像是把原so变形之后放在第二个PT_LOAD段里面了，所以dynamic段中索引的东西的偏移都在第二个PT_LOAD段中，分析文件格式后有感。。。 2015-3-30 18:45 0
heartbeast 雪币： 59 活跃值： (185) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 105 粉丝 0 关注私信	heartbeast 16 楼混进高手帖子中。。。 2015-4-12 21:51 0
WinDos2K 雪币： 267 活跃值： (859) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	WinDos2K 17 楼 [QUOTE=Matrix;1359729]什么意思？改elf文件？其实我们就是这么做的，要不是觊觎ida的f5，这么做真得是很辛苦。给你上张截图。通过将重定位表拷贝出来，并且修正elfheader，添加新的节表等手段，ida就能加载而不报错了。不过需要修复的工作好像还不只这些。[/QUOTE] 可否上载已改的 libmobisec.so 看看? 2015-4-16 13:33 0
ShadoWWinL 雪币： 246 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 18 楼冰山一角 2015-4-16 21:59 0
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 19 楼支持下，，，，，，，，，，，， 2015-4-17 15:53 0
南山瘦竹雪币： 6 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	南山瘦竹 20 楼学习学习 2015-4-17 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]libmobisec.so动态节区分析

账号登录 验证码登录

账号登录

验证码登录