-
-
[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)
-
-
[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)
我在github上面看到一个开源的elf section加密so的项目
编译后,用老办法got表偏移填充,发现section依然异常.
反复调试,发现在基地0b82的位置出现
Elf64_Phdr
elf64你懂的
然后继续调试又找到了 elf32的
sh_size
有意思了
动态调试步入后发现反复抽取elf64_XXX
但是最终却是elf32_XXX实际抽取section信息
仔细研究汇编码发现elf64_XXX是作者的自解析类(可以骂脏字不)
实际解析的依然是elf32
于是写了个脚本,把elf32_XXX的地方整理起来,动态dump出一张完整的section表
再dump出完整的elf表
把dump出的section部分手动回填入elf表
再倒入so,一切正常.
用这个办法有测试了一些其他的section加密so,发现都能解决,而且效果要比老办法好很多.
自己学习比较累,想交朋友一起学习,有意者可以留言我.新手勿扰.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-9-7 04:57
被slm孙礼明编辑
,原因:
