360加固之libjiagu.so dump修复

最新推荐文章于 2025-02-24 07:55:55 发布
原创 最新推荐文章于 2025-02-24 07:55:55 发布 · 1.4w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#360 #加固 #libjiagu.so #dump #修复

本文详细介绍了如何修复360加固后的libjiagu.so dump文件,包括elf header的修复、so及其dump差异分析以及dump修复过程,特别是针对重定位数据的修复。修复后的dump文件能够被正常加载,并且导入函数和字符串能够被正确解析,对于加固SO的分析提供了便利。

一、elfheader修复

dump出来的内存如下图所示,elf header结构有缺失

下面是正常elf头的对比图

下面是010editor对正常elf header的解析

    由上图可知,dump出来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。

   不过这里缺失的,除了e_shoff, e_shnum, e_shtrndx三个是变量,其它都是固定值。而实际上e_shoff, e_shnum, e_shtrndx这三个值在dlopen时并没有用到,全部填0,也可以正常使用。

   那么这里elf header把固定值填上,e_shoff, e_shnum, e_shtrndx三个值留空,elf header就修复好了。

   elf header修复完成后的dump就跟一个so经过dlopen后,dump出来的内存是一样的了。但是这样的dump是不能直接加载的,很多情况下用IDA分析也会缺失导入函数的解析。

 

二、so及其dump差异分析

    为了修复这个dump出来的so,我们写一个so来做个测试。

将测试so加载后,dump出来进行加载前后的对比


    后面一大块数据不一样。首先有个问题就是内存里的对齐跟文件是有差异的。

    看下elf Loadable Segment


    可以发现第二个Loadable Segmentp_offsetp_vadder是一样的,相差了0x1000,dump出来的内存在这个位置会比file0x1000

 

   Dynamic Segment同样存在这样的差异。

三、so dump修复

   由于dump的数据是跟内存加载后是一致的,把上面两个Segment里的p_offset都改成跟p_vaddr一样的值。

   完成这样的修改后,IDA就可以正常解析导入函数了,因为IDA对导入函数的解析依赖于Dynamic Segment里的数据。

   如果要能让dump能正常被dlopen起来,还需要继续对重定位数据进行修复

下面是DynamicSegmentrel对应的数据


可知rel对应的数据开始于0x6aa8,大小为0xf30


0x6aa8指向的elf32_rel结构体数组

typedef structelf32_rel {
       Elf32_Addr   r_offset;
       Elf32_Word  r_info;
} Elf32_Rel;

r_offset指向的地址会被重定位

下图是原始so的数据:


下图是dump内经过重定位的数据:


    可以发现dump里的数据被加上了so的加载基址,修复的时候,减去基址就可以恢复原始数据

    除了rel还有plt_rel需要修复,修复方法跟rel一样

    由于relplt_rel需要修复的数据量比较大,手动修复不太现实,需要编写个工具来完成这样的修复。可以把dlopen里的源码扣出来做一些修改完成这样的操作。

    下面是两张IDA分析的截图:




    修复后的so,跟普通so已经没什么区别了,导入函数和字符串暴露无遗。居然没有对字符串做加密,这样给分析者带来很大方便,对于加固核心so来说有点太依赖so加固了。

  (创建了一个Android逆向分析群,欢迎有兴趣的同学加入,群号码:376745720)

ELF修复基本工作原理
热情、奔放、快乐编程!
08-23 711
ELF(Executable and Linkable Format)是一种常见的可执行文件和可链接文件的格式,广泛用于Linux和UNIX系统中。ELF修复是指对ELF文件进行修改或修复,以确保其正确加载和执行。ELF修复的基本工作原理如下:识别ELF文件:首先,需要识别和验证目标文件是否为有效的ELF文件。这可以通过检查文件的魔数(Magic Number)来完成,ELF文件的魔数是一个特定的字节序列,用于标识文件格式。
APP加固dex解密流程分析
2503_90751789的博客
03-03 2099
这个加固壳和常规的加固方案类似,也是壳DEX->壳ELF->主ELF->主DEX这样的过程,其中壳ELF解密主ELF所用到的算法是RC4和uncompress,壳ELF加载主ELF所用到的技术是自实现linker加固so当然这个加固壳还有许多值得继续研究的地方,例如分发so函数的vmp其内部逻辑究竟是什么样子呢?native化的onCreate函数,dex2c的原理究竟是什么呢?这些都还有待探索,就把它们交给时间和未来的不眠之夜吧月遇从云,花遇和风,今晚上的夜空很美。
Android分析破解-秒脱360加固大法
热门推荐
六桥风月IT随笔
05-05 3万+
Android相比iOS,安全问题往往比较突出,各种漏洞和破解层出不穷。对破解方法的了解,能在开发中进行预防,加强应用的安全性。本系列文章会对Android应用的破解和保护两方面做个探讨,给开发的同学一些借鉴。Andoid开发的同学可能会遇到需要做竞品分析的情况,APK加固常常会成为分析的障碍。360渠道做为Android应用分发的最大渠道,很多apk都使用了360加固。本文就来聊聊如何过掉这个坑
android zbar so库包含64、32位,jar包
09-23
android Zbar 含64、32位so库、jar包等,由于不会编译,智能拿来,全在csdn,积分太高买不起,积分定1分,分给想用而没有积分的
Yang神 dump so修复
Codeoooo 博客
06-21 2692
针对加密so进行解密修复,在内存中还原so文件,让ida可识别;
GG内存dump so 以及修复
日常技术分享
06-11 6003
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输出至文件中将文件pull到电脑中查看在文件中找到so内存地址。
360加固libjiagu.so脱壳及dex dump
燕十二的BLOG
11-17 3万+
360加固后的apk,在arm设备上首先会将assets目录下的libjiagu.so拷贝到files目录下,然后通过libjiagu.so动态加载原始dex        libjiagu.so的init_proc和init_array都无实质功能,真正的解密放在JNI_OnLoad里面        JNI_OnLoad函数里有非常多的垃圾跳转指令干扰分析,后面还会
【安卓逆向】360壳过反调试+dump dex文件以及简单修复
weixin_45983744的博客
04-14 1007
交流学习Q群:984791973 320 0 0 mmap函数下段,然后F9运行断下,然后F8往下,一直运行到这里: F7进来,在R2寄存器这里打一个断点: F9运行到这里,然后F7进来; F8往下走,这里有比较指令: 这个函数的返回值在R0里面存储,(可以直接把光标放在cmp那条指令然后F4跳过去 ) 把R0置零: 置零之后呢,F9: 再一次F8:继续在mmap函数末尾断下,然后继...
你这步骤都太繁琐了。安卓手机。虚拟机一个安装包。360加固,我对他脱壳。都需要经过哪些步骤?尽量讲话能听懂点。
最新发布
05-04
根据引用[1][2]和逆向工程实践经验,360加固脱壳需结合动态DUMP与静态修复,具体流程如下: --- ### 一、脱壳核心步骤 #### 1. 动态DUMP解密DEX(无需修改入口) **技术原理**: 360加固在$...
我就是先把他的dex文件弄出来。然后再导入到原本的安装包里面。他是360加固的。用的安卓手机,你看这种情况需不需要修改入口?
05-04
用户提供的引用1提到360加固会在AndroidManifest.xml的application标签增加两个元素,并且添加了so文件。引用2指出360加固利用apktool处理不存在的属性导致反编译困难,但可以通过修复apktool来解决。引用3则讨论了...
从零打造简单的SODUMP工具--init_array自解密
04-03
针对基于init_array自解密这种方式,写了一个简单的DUMP工具,将之前的section重建加入,并对PLT 和 GOT section重建进行优化,达到更加准确的重建效果。 v0.1版本: 仅支持section未移动的SO重建,能简单检测出部分DIY SO。 使用说明: 最好将SO文件push到/data/local/tmp目录下,比如libxxx.so,只需在EditText输入:xxx,前后缀自动补全。如果不放在/data/local/tmp目录下,则需要输入全路径。DUMP后的SO文件存放在/sdcard/dump.so中。
360加固dex解密流程分析
2503_90751789的博客
02-24 1203
包名: 入口: 我们从 中可以得知,360 加固的入口是 , 所以我们就先进到 apk 的入口进行分析在这个入口类中,不仅有常规的 函数,还有一个函数值得注意,他就是 其中出现的字符串经过了加密混淆操作,加密函数如下,算法是将所有的字符与 进行异或我们写个 jeb 脚本把加密字符串解密来方便后续的静态分析 # coding=utf-8 from com.pnfsoftware.jeb.client.api import
android逆向----内存dump下来的so文件的section简单修复
yimo_5288的博客
12-03 1万+
之前弄了下抖音1.8.3版本,实在是加密太复杂,只得从内存中dump出关键的libcms.so,但弄出来后用IDA打开,提示first section must be SHT_NULL,查看了下dump下来的so发现没有section header table,只能自己来加上去了 1、从反编译出来的libcms.so中找到section header table和Section header s...
dump解密后的so并修改原so
林羽的博客
06-06 5085
先执行IDA动态调试步骤 在JNI_ONLOAD下断点,越往后越好,按ctrl+s查看节点信息,后面的R表示读,W表示写,X表示执行 我们需要的so变成了三个部分,第一个RX表示里面是代码区,对我们没用,最主要的是找到原so文件中被混淆的数据区,其实只需要 RW 复制上图中的start和end的值到文件中,后面用,执行脚本把so dump出来,如下图,start和end替换成上图中的值,然后点击run即可dump出来,代码如下 static main(void) { auto fp, start, e
浅谈被加壳ELF文件的DUMP修复
weixin_33843409的博客
03-08 770
腾讯电脑管家 · 2015/06/10 15:45前面的文章中,我已经介绍了如何调试被加壳的ELF,这里不在叙述,直接进入正题,以某加固为例,如何DUMP修复被加壳的ELF,使其能调试加载我们先来看看被加壳ELF的头和Program Header首先我要让调试器停在入口点0x3860的位置开始DUMP修复之旅,我的第一次DUMP修复的方法,延续了PE的思路,结果失败了失败的原因并不是思路不对,而...
Android逆向系列--Dump So文件
Tasfa的博客
06-08 5036
AndroidDump内存中的数据,比如so文件
360二代加固脱壳方法总结
雪一梦的博客
05-29 1万+
二代加固的难度有所增加,最明显的地方就是qihoo下面增加了一个Configuration.smali文件。由以前的一个增加为两个。 脱壳时有几个关键的so: 1.libc.so(主要是提供一些系统函数,比如open、fopen、fget等等); 2.libdvm.so/libart.so(主要是Android中的系统so,也是重要的Android虚拟机中的重要的so,由于Android有java层面要跟本地层进行交互时,因此这里面的很多系统函数很重要,比如libdvm.so中的dvmdexfileopen
【错误记录】360 加固后的运行错误 ( 加固 SO 动态库时不能对第三方动态库进行加固 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
04-27 1983
360 加固后的运行错误 ( 加固 SO 动态库时不能对第三方动态库进行加固 )
dobby hook libart.so脱壳dump dexfile
03-19
<think>嗯,用户想知道如何用Dobby Hook结合libart.so来脱壳并Dump Dex文件。首先,我需要回忆一下Dobby Hook的相关知识。Dobby是一个多平台的Hook库,支持Android的ARM和ARM64架构,对吧?用户提到的脱壳通常是指从加壳的Android应用中提取原始的Dex文件。而libart.so是Android运行时库,负责执行Dex字节码,所以脱壳的关键点可能在于Hook libart.so中的关键函数,比如加载Dex或执行方法时的函数。 根据引用中的资料,比如引用3提到Dobby的inline hook原理,以及引用4中提到的Hook so层的方法,应该需要找到libart.so中负责Dex加载的函数。可能的目标函数包括OpenMemory、DefineClass或者DexFile相关的函数。例如,Art::DexFile::OpenMemory这个函数,当应用加载Dex时会被调用,Hook它可能可以获取到内存中的Dex数据。 然后,用户需要编写Hook代码,使用Dobby的DobbyHook函数来替换目标函数。在回调函数中,获取Dex文件的起始地址和大小,然后将这段内存数据写入文件,完成Dump。需要注意的是,加壳技术可能会有反Hook措施,所以可能需要绕过这些保护,比如检查代码签名(如引用3中的情况),或者处理多进程注入的问题。 另外,脱壳的时机也很重要。有些壳会在运行时动态解密Dex,所以需要找到合适的时机进行Dump,比如在类被加载时或者方法被执行时。可能需要Hook多个函数,确保覆盖所有可能的解密阶段。 还需要考虑Android版本的问题,不同版本的libart.so可能有不同的函数符号,需要找到对应版本的偏移地址或者符号名。对于Android 8.0以上,可能需要使用dlopen和dlsym来动态获取函数地址,或者解析ELF头来定位。 用户可能需要参考现有的脱壳工具或方法,比如Frida的脚本或者Xposed模块,了解它们是如何Hook这些函数的,然后将其迁移到使用Dobby Hook来实现。同时,要注意权限问题,可能需要root权限或者绕过签名验证,尤其是在非越狱环境下(如引用3提到的代码签名检查)。 最后,测试和验证是关键。编写完Hook代码后,需要在目标应用上测试,确认能够成功Dump出Dex文件,并且文件没有损坏,可以使用反编译工具打开。如果遇到问题,可能需要调试Hook过程,检查参数是否正确,内存地址是否有效,以及是否有反调试机制在干扰。</think>### 如何结合Dobby Hook与libart.so进行Dex脱壳 #### 1. 核心思路 通过Hook `libart.so` 中与Dex加载相关的关键函数(如 `Art::DexFile::OpenMemory`),在内存中捕获解密后的Dex数据并导出。Dobby Hook用于实现函数拦截,绕过加壳保护[^3][^4]。 #### 2. 实现步骤 **(1) 定位关键函数** - 目标函数示例: - `Art::DexFile::OpenMemory`(Dex文件加载入口) - `ClassLinker::DefineClass`(类加载时触发) - `art::DexFile::WriteToMemory`(内存写入Dex) - 需根据Android版本适配符号名,例如Android 8.0后符号命名规则改变[^2]。 **(2) 编写Hook代码** ```cpp #include "dobby.h" // 定义原始函数指针 static void* (*orig_OpenMemory)(const uint8_t* base, size_t size, ...); // 自定义Hook函数 void* fake_OpenMemory(const uint8_t* dex_base, size_t dex_size, ...) { LOG("捕获到Dex内存地址: %p, 大小: %zu", dex_base, dex_size); // 将内存数据写入文件 FILE* fp = fopen("/data/local/tmp/dex_dump.dex", "wb"); fwrite(dex_base, 1, dex_size, fp); fclose(fp); return orig_OpenMemory(dex_base, dex_size, ...); } // 初始化Hook void init_hook() { void* target_addr = DobbySymbolResolver("libart.so", "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"); DobbyHook(target_addr, (void*)fake_OpenMemory, (void**)&orig_OpenMemory); } ``` **(3) 注入与触发** - 使用 `ptrace` 或 `LD_PRELOAD` 注入so到目标进程 - 调用 `init_hook()` 激活Hook - 触发目标应用加载Dex(如启动Activity) #### 3. 关键问题解决 **(1) 反调试绕过** - 通过Hook `ptrace`/`syscall` 阻止调试检测 - 修改进程状态标志(如 `TASK_PTRACE`) **(2) 多Dex处理** - 使用哈希表记录已导出的Dex地址,避免重复Dump - 监听多个生命周期阶段(安装时/运行时) #### 4. 验证结果 - 使用 `dex2jar` 或 `jadx` 验证导出的Dex文件可读性 - 对比加壳前后方法数量变化
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值