【移动安全基础篇】——19、elf文件变形与保护

最新推荐文章于 2024-11-27 09:09:40 发布
转载 最新推荐文章于 2024-11-27 09:09:40 发布 · 751 阅读 · 1

本文探讨了针对ELF文件的三种混淆方法,包括修改section参数、置零section_header_table及dynamic段添加冗余数据,以及两种混淆后的还原方法。通过实际案例展示了IDA软件在面对混淆后的ELF文件时的识别困难。

1. Section  段处理
鉴于 shdr 没有被 linker 用于加载,故可以对 Section 段写入无用数据,可以阻碍静态分
析软件的分析。

2. Program  段处理
Program 段中可以对 dynamic 区段进行混淆,添加重复和无效的数据。

3. Demo  演示
混淆方法一:
将 elf header 中的 section 相关参数置 0

修改后 ida 的识别情况:一些函数无法正常识别

混淆方法二:
将 section_header_table 中的 offset 和 addr 置 0

左侧函数列表很多函数没有被正常识别

如果将所有的 addr 和 offset 都清空掉,那么左侧没有函数被识别

混淆方法三:
dynamic 段添加重复和无用数据,如果要还原的话只需要关注最后一段数据,删除掉之
前重名的数据,因为后面的数据会覆盖掉前面的数据。

混淆还原:
方法一:手动将 start 和 end 地址重新赋值
方法二:将 section 段信息清空为 0(最简单,而且具有普适性)

 

【愚公系列】2023年06月 移动安全之安卓逆向(ELF文件格式详解)
时光隧道
06-11 4455
ARM平台下的反汇编可以使用一些工具,如objdump、IDA Pro等。其中,objdump是一个常用的命令行工具,可以用于反汇编ELF格式的二进制文件,提供在命令行中查看程序反汇编代码的功能。打开IDA Pro软件,并将目标二进制文件导入到IDA Pro中。点击“反汇编”按钮,进行反汇编操作。在反汇编窗口中,可以查看程序的汇编代码,在这里还可以对代码进行修改和调试。总的来说,反汇编是逆向工程中非常重要的一步,可以帮助分析二进制文件的具体实现逻辑和解决一些安全问题。
基础技术-ELF系列(2)-ELF文件进阶libelf
The Road of Engineer
05-29 2092
基础技术系列中ELF相关技术的第二,将会详细介绍一下ELF文件的结构
elftool:简单的ELF加密工具
04-29
精灵工具 简单的ELF加密工具
移动安全基础】——18、elf结构详解
Fly_鹏程万里
01-12 698
1.  来自于 Linux 的 的 elf Android 上的 so(elf) Linux 上的有 99%的相似,其中的知识点和结构是可以互通的。 2. Elf  的链接视图 Elf 在加载前和加载后的结构是不一样的,这就给加密提供了方便。 链接执行的时候,shdr 中的表将会被映射到 phdr 中,里面有 3 个头非常重要elf_header,program header,secti...
使用格式化字符串漏洞绕过Canary保护(32位ELF)萌新
weixin_73481933的博客
01-15 770
当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。原理是在一个函数的入口,先从fs/gs寄存器中取出一个四字节(eax)或者八字节的rax的值存在栈上(最低位都是\x00),当函数结束是会检查这个栈上的值是否和存在去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序就会执行___stack_chk_fali函数,继而保护程序。32位文件,开启了NX和Canary保护
不混淆so文件_理解elf文件的got和plt
weixin_39621695的博客
01-13 555
本文为看雪论坛优秀文章看雪论坛作者ID:Heavenml在Linux平台下,elf文件中的got节和plt节在动态链接过程中起着非常重要的作用,学习got节和plt节是在学习elf文件格式过程中必不可少的一部分。所以在此笔记中,记录一下got节和plt节的原理。got(全局偏移表)got表是Linux平台用来解决对全局数据,外部函数引用的表,当在程序中引用外部的数据,函数时,通过got表...
ELF 格式详解
kunkliu的博客
03-19 6760
可重定位的目标文件(Relocatable)也就是通常称的目标文件,后缀为.o可执行文件(Executable)共享库(Shared Object)共享文件:也就是通常称的库文件,后缀为.so注1: Linux中的readelf命令可以查看ELF文件的详细信息注2:ELF文件只能在操作系统环境下运行,裸机环境运行的是BIN文件;编译器默认输出的文件格式是ELF格式,可以使用objcopy命令转化为BIN文件:将name.elf转化为name.bin文件armbinary。
Linux内存管理--系列文章叁——ELF文件分析
优快云_dyq111的博客
03-31 1218
从上述过程可以看出,目标文件是编译后但未进行链接的中间文件。虽然未链接可能导致它和最后的可执行文件在结构上有少许的不同,但目标文件和可执行文件的结构、内容相似。所以目标文件一般采用可执行文件的储存格式。动态链接库和静态链接库也属于目标文件,它们也会按照可执行文件的格式来储存。ELF文件类型说明实例可执行文件(Executable File)可以直接执行的程序,一般没有拓展名/bin/bash共享目标文件(Shared Object File)
PWN二进制安全修仙秘籍【第二章#二进制文件02】ELF文件详解
weixin_53801131的博客
10-07 1234
形成一个进程镜像,每个进程都拥有独立的虚拟地址空间,这个空间如何布局是由记录在段头表中的程序头决定的。ELF文件头的e_phoff域给出了段头表的位置下面将展示一个可执行文件的程序头👇。
ELF文件格式分析.pdf》elf解析代码
03-22
ELF(Executable and Linkable Format)是Linux和其他类UNIX系统中广泛使用的可执行文件、共享库和对象文件的标准格式。这个格式提供了丰富的信息,包括程序的入口点、符号表、重定位信息等,使得编译器、链接器、...
oplzkwp:ELF混淆器
05-16
描述 oplzkwp是用于ELF模糊处理的库。 它使用PRESENT和blake244即时加密您的有效负载。 内存中仅解密当前执行的功能。 支持Linux(x86)和Android(ARM)。 如何 修改payload.c以适合您的需求。 限制条件: 以_e_开头的每个函数_e_将在运行时进行加密和解密。 使用decrypt_and_call(next)调用另一个_e_函数。 如果当前调用了该函数(例如,可重入),则必须执行常规调用。 每个功能都需要页面对齐。 (请参见payload.c和__attribute__((aligned(PAGE_SIZE)) )。 最终的可执行文件必须使用-fpie编译(如果使用提供的Makefile,这是默认设置)。 建造 Linux,使用make 。 Android,请使用make android (您必须具有ndk-build设置)。 可执行
Android SO文件保护OLLVM混淆加固——混淆(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
ELF文件加密
weixin_33951761的博客
07-27 602
ELF头的各个字段如下: 1. #define EI_NIDENT 16 2. typedef struct{ 3. unsigned char e_ident[EI_NIDENT]; //目标文件标识信息 4. Elf32_Half e_type; ...
一种简单的ELF加固方法
weixin_30642029的博客
10-28 488
介绍一种ELF文件函数粒度的加固方法,可以有效防止对程序的静态分析。这是一种有源码加固方式,需要被加固程序中代码配合。加固流程如下:1)读取ELF文件头,获取e_phoff和e_phnum2)通过Elf64_Phdr中的p_type字段,找到DYNAMIC3)遍历.dynamic,找到.dynsym、.dynstr 节区偏移,和.dynstr节区的大小4)遍历.dynsym,找到函数对应的Elf6...
Linux C/C++ 从内存转储中恢复64位ELF可执行文件
chen1415886044的博客
12-10 1911
ELF(Executable and Linkable Format)是一种可执行文件和可链接文件的格式,它被广泛用于类Unix系统。ELF文件格式由以下几个部分组成: 1. ELF头(ELF Header):包含了文件的基本属性和结构信息,如文件类型、入口地址、程序头表位置等。 2. 程序头表(Program Header Table):包含了文件中各个段的信息,如代码段、数据段、堆栈段等。每个段都有一个对应的程序头,其中包含了该段在文件中的位置、大小、读写权限等信息。 3. 节头表(Section
ELF文件加固
Tesi1a的充电桩
07-27 2823
0x01 ELF文件介绍 APK里的.so文件ELF文件(Executable and Linking Format)最初是由 UNIX 系统实验室(UNIX System Laboratories,USL)开发并发布的,作为应用程序二进制接口(Application Binary Interface,ABI)的一部分。工具接口标准(Tool Interface Standards,TIS)委...
ELF格式文件详细分析
热门推荐
飘零过客
06-12 3万+
ELF(Executable and Linkable Format)即可执行连接文件格式,是一种比较复杂的文件格式,但其应用广泛
ELF文件进行反汇编生成汇编文件
最新发布
qq_41070935的博客
11-27 1419
在Windows 11上使用WSL(Windows Subsystem for Linux)中的Ubuntu来对ELF文件进行反汇编,并生成。可能会得到不正确的结果或报错。反汇编过程中遇到任何问题,可能需要检查ELF文件的架构是否。如果你反汇编的ELF文件不是PPC架构的,那么使用。请注意,反汇编ELF文件时,确保你使用的是正确架构的。工具的架构匹配,或者检查文件路径和权限是否正确。是Windows的C盘在WSL中的挂载点。这条命令会将反汇编输出重定向到。
ELF文件解析和反汇编
wuxinke_blog的专栏
03-20 2万+
首先来看一段Unix/Linux下的汇编代码: #PURPOSE: This program finds the maximum number of a # set of data items. ##VARIABLES: The registers have the following uses: ## %edi - Holds the index of the data item bei
深入理解Android ELF格式移动安全指南
知识点: 1. ELF文件格式 ELF(Executable and Linkable Format)是一种用于二进制文件、可执行文件、目标代码、共享库和...它能够帮助他们更好地理解ELF文件如何在移动设备上被使用和保护,同时提供深入研究的基础
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值