看雪论坛
6

【原创】从零打造简单的SODUMP工具

ThomasKing 2014-11-4 16881
小弟最近学习了下加、脱壳的一些基本原理。 针对基于init_array自解密这种方式,写了一个简单的DUMP工具,将之前的section重建加入,并对PLT 和 GOT section重建进行优化,达到更加准确的重建效果。实现原理见附件,具体效果就自己测试吧。限于水平,难免会有一些不足和疏漏之处,请各位大大批评指正,小弟感激不尽!
-----------------------------------------------------------------------------
v0.1版本: 仅支持section未移动的SO重建,能简单检测出部分DIY SO。
使用说明:
最好将SO文件push到/data/local/tmp目录下,比如libxxx.so,只需在EditText输入:xxx,前后缀自动补全。如果不放在/data/local/tmp目录下,则需要输入全路径。DUMP后的SO文件存放在/sdcard/dump.so中。

注:使用本工具所造成的一些后果与作者无关。使用即同意此项

附上一些测试效果图:
http://bbs.pediy.com/showthread.php?t=190384&viewgoodnees=1&prefixid= 帖子中的SO文件:
脱壳前:

脱壳后:


一朋友给的某手游游戏,据说是美杜莎壳。当然,这仅仅只是该壳子的一个很小方面,这壳子很生猛的。
脱壳前:

脱壳后:
最新回复 (27)
蚯蚓降龙 2014-11-4
2
多谢分享,值得学习下
2
wenboxu 2014-11-4
3
多谢分享
2
JoyFei 2014-11-4
4
mark,学习了
xouou 2014-11-5
5
楼主好人  顶起
kxzb 2014-11-5
6
安卓的,学习下
5
QEver 2014-11-5
7
:3:表示从来都是直接内存dump,然后把elf header修一下就行了。什么什么表的,看着就头痛
5
boyliang 2014-11-5
8
good job
cacorothuo 2014-11-5
9
楼主,第一个so是谁的?
6
ThomasKing 2014-11-5
10
额,第一个SO是上面链接帖子的,具体你转那帖子去看下
cacorothuo 2014-11-5
11
我这边有个加固过的so,要不帮忙脱一下?
6
ThomasKing 2014-11-5
12
额,这个得靠你自己
cacorothuo 2014-11-5
13
so脱出来不能运行吧。
cacorothuo 2014-11-5
14
我写的壳,我应该知道怎么脱了。。。。。。
cqzhou 2014-11-5
15
说好的从零开始 我怎么看不懂呢
6
ThomasKing 2014-11-5
16
嗯,代码都解密了,你运行再解一次。。。
zqwhty 2014-11-5
17
大神们有没有apk的免杀或加壳的,小弟刚接触这个...很不理解啊...网上找的教程都是什么Pe的,apk文件不支持
zhutanbai 2014-11-5
18
值得学习下。
2
万抽抽 2014-11-5
19
王总真是越来越腻害啦!拜读~
1
glucose 2014-11-5
20
挺好, 就是dump出来方法名都对了, 方法内函数体还是乱码.
6
ThomasKing 2014-11-5
21
额,仅支持脱init_array的自解密。 函数体还是乱码,说明不是init_array的自解密。。。
诗函 2014-11-5
22
感谢技术贴。so脱壳感觉比反编容易多了
mingxuan三千 2014-11-5
23
学习 !!
hqsfang 2014-11-5
24
学习:p::p::p::p::p:
eastmaster 2015-11-6
25
不错,顶一个!
总有SB想害我 2015-11-7
26
是从soinfo里构建段表吗及dynamic节吗?
田darren 2017-2-27
27
不錯, 正在研究...
dddsdf 6天前
28
dump出来和ida运行时attach上去内存dump出来一样,还是函数名和函数体都有问题,这是碰到了啥对抗?
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.011, SQL: 7 / 京ICP备10040895号-17