首页
社区
课程
招聘
[求助]邦邦企业版加固so分析如何定位到init_array、jni_onload
发表于: 2024-9-8 13:43 1009

[求助]邦邦企业版加固so分析如何定位到init_array、jni_onload

2024-9-8 13:43
1009

看了站内两位大佬写的邦邦企业加固分析贴
https://bbs.kanxue.com/thread-280513.htm
https://bbs.kanxue.com/thread-280302.htm
看完直呼精彩,遂想着复现来学习学习。
操作过程中上来就卡住了。
对libDexHelper.so执行readelf -s 报错。
图片描述
导入ida发现连init_array符号都找不到,只有一个.init_proc,会从link64调过来。
图片描述
执行完.init_proc,一路看过去,会把seg091的数据解密,并赋予执行权限,看着里边的一些校验感觉都过了,但点击继续运行,会报一个段错误。
图片描述

传递给应用程序继续运行,没有崩溃,从线程列表看到有两个新的线程在执行seg091的代码,定位过去ida无法正确识别指令。
看了半天始终找不到seg091代码的执行入口,是我哪一步漏了吗?
求路过的大佬支个招


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-9-8 13:49 被mb_vfdcyvha编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (4)
雪    币: 748
活跃值: (1662)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
这个应该是段没有执行权限吧,可以dump修复,会发现有.init_array 段的特征.
2024-9-9 13:53
0
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
提前在ida里面将段权限修改了试试呢?
2024-9-12 17:00
0
雪    币: 1519
活跃值: (3298)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
从系统so库调用跳转过去就是 
2024-9-12 17:57
0
雪    币: 1519
活跃值: (3298)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
so的执行段有部分是动态释放的,需要dump修复之后才能分析。
2024-9-12 17:58
0
游客
登录 | 注册 方可回帖
返回
//