-
-
[原创] 实现将AJM 脱UPX壳修复so文件
-
发表于:
2020-4-3 13:41
10320
-
工具使用:IDA6.8, 010 Editor
将原APP解压出来的libexec.so放到IDA中加载发现打开的函数不能进行F5转为C代码
在该函数中按F5会弹出该提示,使我们无法转为C代码进行进一步的分析
在String表中直接搜索calling,选择第一个结果进入.
接着查看该信息的交叉引用,选择第一个点击进入.
在调用字符串下面函数的偏移地址就是我们所需要的.
经过IDA一波的附加操作,待加载了libexec.so后即可开始干活了.
查看linker的基址
计算绝对地址
0xB6F14000+0x2464= 0xB6F16464
G键跳转进入并下断
接着F9进入该函数,待进来后继续F9一下.
现在可以在module list中搜索libexec.so
使用脚本dump libexec.so
观望一眼dump出来的so文件
使用IDA工具查看一下dump出来的libexec.so,大家可以看到导入导出表里面是空的.其实这是AJM的变形壳.接着下一步准备去修复libexec.so
使用010 Editoe工具先加载app的原libexec.so
接着搜索关键字”AJM!”,选择第一个
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-4-3 13:43
被guanlingji编辑
,原因: