首页
社区
课程
招聘
[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)
发表于: 2018-9-7 03:57 6598

[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)

2018-9-7 03:57
6598
我在github上面看到一个开源的elf section加密so的项目
编译后,用老办法got表偏移填充,发现section依然异常.
反复调试,发现在基地0b82的位置出现 Elf64_Phdr
elf64你懂的
然后继续调试又找到了 elf32的 sh_size
有意思了

动态调试步入后发现反复抽取elf64_XXX
但是最终却是elf32_XXX实际抽取section信息
仔细研究汇编码发现elf64_XXX是作者的自解析类(可以骂脏字不)
实际解析的依然是elf32

于是写了个脚本,把elf32_XXX的地方整理起来,动态dump出一张完整的section表
再dump出完整的elf表

把dump出的section部分手动回填入elf表
再倒入so,一切正常.


用这个办法有测试了一些其他的section加密so,发现都能解决,而且效果要比老办法好很多.



自己学习比较累,想交朋友一起学习,有意者可以留言我.新手勿扰.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2018-9-7 04:57 被slm孙礼明编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 1215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
额。github地址可以分享下吗
2018-9-7 08:39
0
雪    币: 1144
活跃值: (1274)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
额。github地址可以分享下吗
2018-9-10 09:43
0
雪    币: 179
活跃值: (244)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
额。github地址可以分享下吗
2020-10-10 20:01
0
游客
登录 | 注册 方可回帖
返回
//