-
-
[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)
-
发表于:
2018-9-7 03:57
6597
-
[原创]遭遇另类elf加密,使用另类方法修复elf section(尽管另类,但通用,有效率99%)
我在github上面看到一个开源的elf section加密so的项目
编译后,用老办法got表偏移填充,发现section依然异常.
反复调试,发现在基地0b82的位置出现
Elf64_Phdr
elf64你懂的
然后继续调试又找到了 elf32的
sh_size
有意思了
动态调试步入后发现反复抽取elf64_XXX
但是最终却是elf32_XXX实际抽取section信息
仔细研究汇编码发现elf64_XXX是作者的自解析类(可以骂脏字不)
实际解析的依然是elf32
于是写了个脚本,把elf32_XXX的地方整理起来,动态dump出一张完整的section表
再dump出完整的elf表
把dump出的section部分手动回填入elf表
再倒入so,一切正常.
用这个办法有测试了一些其他的section加密so,发现都能解决,而且效果要比老办法好很多.
自己学习比较累,想交朋友一起学习,有意者可以留言我.新手勿扰.
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-9-7 04:57
被slm孙礼明编辑
,原因:
