-
-
[原创] 实现将AJM 脱UPX壳修复so文件
-
发表于: 2020-4-3 13:41
-
工具使用:IDA6.8, 010 Editor
将原APP解压出来的libexec.so放到IDA中加载发现打开的函数不能进行F5转为C代码
在该函数中按F5会弹出该提示,使我们无法转为C代码进行进一步的分析
在String表中直接搜索calling,选择第一个结果进入.
接着查看该信息的交叉引用,选择第一个点击进入.
在调用字符串下面函数的偏移地址就是我们所需要的.
经过IDA一波的附加操作,待加载了libexec.so后即可开始干活了.
查看linker的基址
计算绝对地址
0xB6F14000+0x2464= 0xB6F16464
G键跳转进入并下断
接着F9进入该函数,待进来后继续F9一下.
现在可以在module list中搜索libexec.so
使用脚本dump libexec.so
观望一眼dump出来的so文件
使用IDA工具查看一下dump出来的libexec.so,大家可以看到导入导出表里面是空的.其实这是AJM的变形壳.接着下一步准备去修复libexec.so
使用010 Editoe工具先加载app的原libexec.so
接着搜索关键字”AJM!”,选择第一个
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-4-3 13:43
被guanlingji编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
根据Elf32_Addr_p_vaddr_VIRTUAL_ADDRESS的值来进行填写的,我在02段的描述里面有写,就是根据下一行  ,估计是有点没描述好了
|
|
|
|
|
|
thx |
|
|
|
|
|
|
|
|
|
|
|
感谢分享,就喜欢这种给样本的文章
|
|
|
|
|
|
|
|
|
|
