一文搞懂 SO 脱壳全流程:识别加壳、Frida Dump、原理深入解析

原创 已于 2025-06-11 13:55:18 修改 · 1.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #脱壳 #逆向 #移动安全 #frida dump #源码解析

于 2025-06-11 01:30:15 首次发布

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

加壳 so 识别

使用 IDA 打开 so 提示无法正确识别 ELF 文件结构。

word/media/image1.png

section 定义无效或不符合预期格式。

word/media/image2.png

有很多红色的汇编代码块,表示错误或者未能正常解析的地址/数据

word/media/image3.png

这通常就是 so 可能被“混淆”、“裁剪”或“加壳”了。

使用 frida_dump 实现 so 脱壳

frida_dump 是基于 frida 的 so 和 dex 的脱壳工具。

先把 frida_dump 源码 clone 到本地。

如果使用的是远程链接,把 dump_so.py 中的

device: frida.core.Device = frida.get_usb_device()

改成

device = frida.get_device_manager().add_remote_device("127.0.0.1:1234")

比如目标 so 是 libGameVMP.so,通过下面命令执行 dump_so.py

python dump_so.py libGameVMP.so

输出如下:

(anti-app) PS D:\Python\anti-app\frida_dump> python dump_so.py libGameVMP.so
{'name': 'libGameVMP.so', 'base': '0x7bd7b81000', 'size': 462848, 'path': '/data/app/com.shizhuang.duapp-fTxemmnM8l6298xbBELksQ==/lib/arm64/libGameVMP.so'}
libGameVMP.so.dump.so
android/SoFixer64: 1 file pushed, 0 skipped. 66.8 MB/s (186656 bytes in 0.003s)
libGameVMP.so.dump.so: 1 file pushed, 0 skipped. 217.6 MB/s (462848 bytes in 0.002s)
adb shell /data/local/tmp/SoFixer -m 0x7bd7b81000 -s /data/local/tmp/libGameVMP.so.dump.so -o /data/local/tmp/libGameVMP.so.dump.so.fix.so
[main_loop:87]start to rebuild elf file
[Load:69]dynamic segment have been found in loadable segment, argument baseso will be ignored.
[RebuildPhdr:25]=============LoadDynamicSectionFromBaseSource==========RebuildPhdr=========================
[RebuildPhdr:37]=====================RebuildPhdr End======================
[ReadSoInfo:549]==
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
frida java层加密自吐,修改str ,dlopen,内存读写,so内存dump
qq_42423940的博客
01-23 605
操作字符串的返回值1。操作字符串的返回值2。操作字符串的返回值3。
Frida安装与apk脱壳脚本使用
qq_30441857的博客
12-31 1373
Frida 是一款基于 Python + JavaScript的 Hook 与调试框架,可运行在Win、Mac、Linux、Android、iOS等平台它是一款易用的跨平台Hook工具,主要被用作动态二进制插桩技术。
55:UPX加壳脱壳管家 一键加壳脱壳检测 高效稳定 易上手强制叠加区可选 日志清晰 PE信息分析软件.rar
最新发布
11-22
一、功能简介 - 一键加壳(压缩):支持常规、最佳压缩、暴力、超暴力,多档压缩等级(1-9)可选。 - 一键脱壳(解压):对UPX加壳的可执行文件进行解压恢复。 - 叠加区策略:支持自动/copy/strip/skip多种策略,满足不同兼容性需求。 - 安全选项:可选创建备份(-k),并支持强制处理(--force)。 - 日志与提示:实时输出UPX标准输出/错误信息,遇到GUARD_CF自动给出处理建议。 - PE信息分析:快速识别是否EXE/DLL、节数量、是否开启GUARD_CF等关键信息。 - UPX路径管理:可自动探测或手动指定upx.exe,启动后可直接使用。 二、使用方法 1. 启动软件后,在“文件操作”页选择目标文件(如.exe/.dll)。 2. 选择压缩等级(默认/1-9)与压缩模式(常规/最佳/暴力/超暴力)。 3. 选择叠加区策略(自动/复制copy/剥离strip/跳过skip),必要时勾选“创建备份”和“强制处理”。 4. 点击“开始加壳”或“开始脱壳”,在“操作日志”查看进度与结果;成功会弹出完成提示。 5. 若提示未找到UPX,在“UPX配置”页点击“自动检测”或“浏览”定位upx.exe。 6. 需要了解文件信息时,点击“分析PE信息”获取基础元数据与GUARD_CF检测。 三、使用技巧 - 追求速度:选择较低压缩等级或“常规”模式;追求体积:尝试“最佳压缩/暴力/超暴力”。 - 初次操作建议勾选“创建备份(-k)”,避免误操作覆盖原文件。 - 如日志出现“GUARD_CF”提示,勾选“强制处理”重试,并务必验证输出文件可否正常运行。 - 叠加区(overlay)处理会影响某些壳或资源的兼容性,不确定时使用“自动”或“copy”。 - PE信息分析用于快速判断文件类型与保护标志,不能替代完整的安全检测。
GG内存dump so 以及修复
日常技术分享
06-11 5882
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输出至文件中将文件pull到电脑中查看在文件中找到so内存地址。
android 逆向破解360加固(MT管理器反编译)
2509_93869480的博客
11-01 1143
还有就是360加固之后,一定要签名在360加固助手里面,不然会闪退脱壳反编译后,重新签名后如果打开闪退,那一定是没有反编译破解失败仔细看看!3,需要给app脱壳https://nop.gs/在这里脱壳(目前好像不能用了,可以去搜索其他的脱壳网站或者方法)6.然后把脱壳的classes.dex添加到破解的app里面删除原来的classes.dex。7.删除360加固的so,so在assets文件里面删除libjiagu样式的so。然后加固的activity的create是这样的。2.一台root手机。
Android so加固的简单脱壳
Fly20141201. 的专栏
09-24 6742
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/78077603 Android应用的so库文件的加固一直存在,也比较常见,特地花时间整理了一下Android so库文件加固方面的知识。本篇文章主要是对看雪论坛《简单的so脱壳器》这篇文章的思路和代码的分析,很久之前就阅读过这篇文章但是一直没有时间来详细分析它的代码,最近比
frida dump android手机内存数据工具
热门推荐
someby的博客
03-13 1万+
frida dumpandroid手机内存数据工具
android逆向笔记(10) ——IDA动态调试so
PaladinV的逆向学习之路
02-14 8850
文章目录0x00 序言0x01 启动 IDA Server选择android_server版本指定端口运行android_server0x02 开始调试载入目标so(先dump再载入)Attach目标进程 0x00 序言 本文主要作为脑残的我记录一下IDA调试so的各种命令,因为老是忘记!没有任何干货,大家可以撤了!毫无技术含量! 0x01 启动 IDA Server 选择android_server版本 1. 在真机调试so中,根据应用程序的运行情况选择android_server 或 android_s
java so apk_安卓so文件脱壳思路(java版)附源代码
weixin_35212962的博客
02-24 483
[Java] 纯文本查看 复制代码package com.tudou.soshelltest;import java.io.ByteArrayOutputStream;import java.util.List;import com.tudou.soshell.ELF32_Phdr;import com.tudou.soshell.ELF32_Shdr;import com.tudou.soshe...
文件熵分析:PE文件加壳识别脱壳技术.pdf
05-01
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
Android so加固简单脱壳代码
09-27
Android so加固的简单脱壳,也是Android ELF文件格式学习不可不学习的知识内容,想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。
frida_dump:frida dump dex,frida dump so
05-01
frida_dump 1.使用dump_module Android dump_so > frida -U packagename -l dump_module.js ____ / _ | Frida 12.4.8 - A world-class dynamic instrumentation toolkit | (_| | > _ | Commands: /_/ |_| help -> Displays the help system . . . . object? -> Display information about 'object' . . . . exit/quit -> Exit . . . . . . . . More info at http:
《Themida:病毒加壳实现免杀技术工具》
06-27
随着安全公司对加壳技术的深入研究,他们开发出了一系列逆向工程工具来分析和识别Themida加壳的恶意软件。这些工具能够通过多种技术手段,如内存分析、动态代码分析和行为监控等,来绕过Themida的保护层,从而实现对...
新手入门:掌握加壳脱壳的基本原理
标题中的“加壳脱壳”和描述中的“新手必看 初学者必须掌握原理”指出了本文档的主要内容是关于软件加壳脱壳的基本原理和知识,这是面向IT初学者的教育性材料。本文档包括四个方面的知识点,即“壳”、“加壳”、...
android so文件脱壳,安卓逆向ida脱dex so壳内存脱壳教程
weixin_30994671的博客
05-27 1532
idc脚本:static main(void){auto fp, dexAddress, end, size;dexAddress = 0xA644C008;size = 0x0086CAB0;end = dexAddress + size;fp = fopen("D:\\classes.dex", "wb");for ( ; dexAddress < end; dexAddress++ )...
某加固so脱壳
2503_90751789的博客
02-24 1644
加固版本:2025/2/11 最新免费版。
Frida进行AndroidSo文件的dump
u012871930的博客
12-13 3080
文件执行的命令为:frida -U -f com.*** -l android_dlopen_ext.js。file_path是文件路径,其中com***是应用包名。其中soName是我们要进行dumpso文件名称。com.***则是要注入的包名。
APK/SO 加壳加固与脱壳(防反编译、二次打包)
ShareUs的专栏
09-03 1万+
Android安全方面的博客- http://blog.youkuaiyun.com/lpjishu 对App进行加固,可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等,保障程序的安全性、稳定性。 目前关于Android APK的安全性是非常令人堪忧的。APK运行环境依赖的文件/文件夹 res、DEX、主配文件Lib 只是简单的加密甚至没有任何加密措施。APKtool工具可轻易将其破解,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值