解析libUE4.so 的时候发现被加密了,代码解析出来不正确。简单的分析了一下加固方式。
libUE4.so 依赖的 libtprt.so 比较可疑,有可能是做解密用的。既然会解密,那么一定会调用 mprotect 修改内存属性。分析了几处调用mprotect 的地方。
1处是:
这处是引用MSHookFunction的痕迹,用来hook mono 的函数进行解密的。具体不多说,感兴趣的可以看下如何处理mono的
2处是:
这处是用来解密自身的 .tptext段的
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!