看雪论坛
发新帖
6

[原创]从零打造简单的SODUMP工具

ThomasKing 2014-11-4 22:28 18235
小弟最近学习了下加、脱壳的一些基本原理。 针对基于init_array自解密这种方式,写了一个简单的DUMP工具,将之前的section重建加入,并对PLT 和 GOT section重建进行优化,达到更加准确的重建效果。实现原理见附件,具体效果就自己测试吧。限于水平,难免会有一些不足和疏漏之处,请各位大大批评指正,小弟感激不尽!
-----------------------------------------------------------------------------
v0.1版本: 仅支持section未移动的SO重建,能简单检测出部分DIY SO。
使用说明:
最好将SO文件push到/data/local/tmp目录下,比如libxxx.so,只需在EditText输入:xxx,前后缀自动补全。如果不放在/data/local/tmp目录下,则需要输入全路径。DUMP后的SO文件存放在/sdcard/dump.so中。

注:使用本工具所造成的一些后果与作者无关。使用即同意此项

附上一些测试效果图:
http://bbs.pediy.com/showthread.php?t=190384&viewgoodnees=1&prefixid= 帖子中的SO文件:
脱壳前:

脱壳后:


一朋友给的某手游游戏,据说是美杜莎壳。当然,这仅仅只是该壳子的一个很小方面,这壳子很生猛的。
脱壳前:

脱壳后:
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (29)
蚯蚓降龙 2014-11-4 22:35
2
多谢分享,值得学习下
2
wenboxu 2014-11-4 23:02
3
多谢分享
2
JoyFei 2014-11-4 23:59
4
mark,学习了
xouou 2014-11-5 08:55
5
楼主好人  顶起
kxzb 2014-11-5 09:36
6
安卓的,学习下
5
QEver 2014-11-5 09:57
7
表示从来都是直接内存dump,然后把elf header修一下就行了。什么什么表的,看着就头痛
5
boyliang 2014-11-5 09:57
8
good job
cacorothuo 2014-11-5 10:01
9
楼主,第一个so是谁的?
6
ThomasKing 2014-11-5 10:22
10
额,第一个SO是上面链接帖子的,具体你转那帖子去看下
cacorothuo 2014-11-5 10:25
11
我这边有个加固过的so,要不帮忙脱一下?
6
ThomasKing 2014-11-5 10:34
12
额,这个得靠你自己
cacorothuo 2014-11-5 10:35
13
so脱出来不能运行吧。
cacorothuo 2014-11-5 10:36
14
我写的壳,我应该知道怎么脱了。。。。。。
cqzhou 2014-11-5 10:51
15
说好的从零开始 我怎么看不懂呢
6
ThomasKing 2014-11-5 12:57
16
嗯,代码都解密了,你运行再解一次。。。
zqwhty 2014-11-5 12:59
17
大神们有没有apk的免杀或加壳的,小弟刚接触这个...很不理解啊...网上找的教程都是什么Pe的,apk文件不支持
zhutanbai 2014-11-5 13:11
18
值得学习下。
2
万抽抽 2014-11-5 13:33
19
王总真是越来越腻害啦!拜读~
1
glucose 2014-11-5 14:52
20
挺好, 就是dump出来方法名都对了, 方法内函数体还是乱码.
6
ThomasKing 2014-11-5 15:47
21
额,仅支持脱init_array的自解密。 函数体还是乱码,说明不是init_array的自解密。。。
诗函 2014-11-5 16:01
22
感谢技术贴。so脱壳感觉比反编容易多了
mingxuan三千 2014-11-5 22:18
23
学习 !!
hqsfang 2014-11-5 23:13
24
学习
eastmaster 2015-11-6 17:14
25
不错,顶一个!
总有SB想害我 2015-11-7 16:32
26
是从soinfo里构建段表吗及dynamic节吗?
田darren 2017-2-27 17:40
27
不錯, 正在研究...
dddsdf 2017-3-20 17:40
28
dump出来和ida运行时attach上去内存dump出来一样,还是函数名和函数体都有问题,这是碰到了啥对抗?
1
daiweizhi 2017-6-28 01:08
29
为什么这个ELF就DUMP失败或找不到路径,强壳都能解决这个不行啊?这可是可执行文件一个全新的领域,楼主赶紧瞅瞅什么情况导致的我也想研究一下为啥不行

上传的附件:
  • test (59.28kb,1次下载)
1
daiweizhi 2017-6-28 01:10
30
ThomasKing 额,这个得靠你自己
从零打造简单的SODUMP工具楼主给研究研究为啥DUMP一个简单的就出不来你这东西难道需要更新版本了,这是ELF可执行文件。和so是用们是兄弟
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.015, SQL: 12 / 京ICP备10040895号-17