简单SO加密及ELF头文件修复

最新推荐文章于 2024-04-04 09:40:42 发布
最新推荐文章于 2024-04-04 09:40:42 发布
阅读量5.7k 收藏 9
点赞数
分类专栏: Android逆向 Android 文章标签: 加密 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/t396602425/article/details/70877361
版权
本文介绍了如何修复ELF头文件错误,通过分析ELF结构,特别是e_shoff、e_shentsize、e_shnum和e_shstrndx字段,以及使用010 Editor和IDA工具进行验证和修复。同时,讨论了Android环境下SO文件的加密方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Android(一):简单SO加密及ELF头文件修复

 为了对抗IDA等逆向工具对SO进行逆向,一个简单的方法就是对ELF头文件信息进行修改,使IDA等工具解析出错,从而达到对抗的目的。本文所用到的资源文件都会提供下载,有什么写得不好的地方,请指正,谢谢。

一,ELF文件结构

这里写图片描述

由上图可知ELF有两种视图,当我们应用在执行的时候采用的是执行视图,看图可知,节区头部表是可选的,可选的意思就是存在与不存在对程序都是没有影响的,因此,我们可以改动节区头的相关信息,让IDA等工具解析出错,从而达到对抗的目的。

二,ELF头文件结构

 #define EI_NIDENT 16
     typedef struct{
最低0.47元/天 解锁文章
详解ELF文件简单加密方法:采用RC4加密算法为你的应用加盾
qq_38334677的博客
09-25 659
ELF (Executable and Linkable Format) 文件是一种常见的程序文件格式,广泛用于Linux、Unix和其他类似的操作系统上。它不仅用于可执行文件,还用于共享库和内核模块。ELF格式的设计使其具有灵活性、可扩展性和兼容性。RC4是一个流密码加密算法,由Ron Rivest在1987年设计。它简单、快速并且在很多场景中表现出了良好的安全性。尽管如此,不当的使用会导致一些已知的安全问题,所以总是建议在经过适当的研究和验证后使用。Linux系统中的默认ELF加载器是。
Android/Linux 32位elf自动修复工具
07-12
对畸形的32位elf文件进行自动修复 cmd fix32elf xxxx.so 目录下生成 fixed.so
ELF文件加密
weixin_33951761的博客
07-27 534
ELF头的各个字段如下: 1. #define EI_NIDENT 16 2. typedef struct{ 3. unsigned char e_ident[EI_NIDENT]; //目标文件标识信息 4. Elf32_Half e_type; ...
探索FixElfSection:一个强大的ELF文件修复工具
最新发布
gitblog_00036的博客
04-04 846
探索FixElfSection:一个强大的ELF文件修复工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,由开发者WangYinuo创建,旨在帮助用户修复受损的ELF(Executable and Linkable Format)二进制文件。在Linux系统中,ELF是标准的可执行文件、动态库和共享对象的格式。当这些文件由于各种原因(如不完整的下载、...
【移动安全基础篇】——20、elf文件修复分析
Fly_鹏程万里
01-14 1713
1. Section Header And Program Header 链接视图中用到 Section Header,执行视图中用到 Program Header。两者理论上都能指出so 文件的所有信息,那么它们之间是否存在关联性 如上图,Segment 和 Section 的映射关系是一对一或者一对多。 Dynamic Section(重要) 2. Section 修复 修复...
记录一次so修复
lzheibai1的博客
01-29 1260
同时这个正确的.shstrtab结尾 0x119BDD 就是section header table的开头,不过是否是真的先保持怀疑。最最最最后一步,去掉下面多余的,把真正的.shstrtab 下标为23的 和 section table的数量在elf header中修改。第四行003A知道每个section大小是0x40,一共有6个section,0x003F知道最后一个section是.shstrtab。可以看到真正的.shstrtab的地址是 0x119B15。
**安卓攻防so模块自动化修复实战*
YJJYXM的博客
09-24 453
*安卓攻防so模块自动化修复实战 前言 Android加固方案经过这么长时间的发展,从开始的整体dex加密压缩方案逐步开始往native层发展,市面上知名的几款商业级加固方案中很容易发现这种方案的身影。这样看来,在今后相当长的一段时间内,Android逆向中不可避免的会频繁接触到So加固的对抗了。 ❖工具的初衷 搜集常见So加固方案(主要是日常分析中遇到的) 自动化对抗加固方案,解放双手 开源工...
Android so文件的区节section修复代码分析
墨鱼菜鸡
12-16 358
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/78818917 一、Android so文件的节表secion修复方案整理 1. 简单粗暴的so加解密实现 https://bbs....
Apk脱壳圣战之---脱掉“爱加密”家的壳
尼古拉斯.赵四的博客
04-18 6425
一、前言 今天是端午节,然而小编不能吃粽子了,只能继续破解之路,今天我们来看一下在了解了破解三部曲之后,如何开始脱掉各个市场中的apk壳,关于破解三部曲在之前已经介绍了: 第一篇:Android中使用Eclipse动态调试smali源码 第二篇:Android中使用IDA动态调试so源码 第三篇:Android中破解加固的apk 在看完这三篇文章之后,我们开始操作如何破解市场中的加壳方案...
Android加固调研
chen52671的专栏
10-12 1824
              简介               基本概念                      APK结构                      Dex结构                      APK打包过程                      APK加载过程                      Android JNI机制               常用破...
ELF文件加密相关
xiziyunqi的博客
08-10 1855
[转载]简单粗暴的so加解密实现[原文]http://bbs.pediy.com/thread-191649.htm 一、概述 动态链接库能对抗逆向,由于IDA的存在,还需要对核心部分加密。.so加密有两种:1.无源码:类似可执行文件的加壳,需要对文件进行分析,在合适的地方插入解密代码2.有源码:可以构造解密代码并让解密过程在.so被加载时完成。 下文分析有源码的情况,包含对elf header
elf 加密机制
10-10
比较全面的总结了elf文件加密的方法,如何对开源软件或商用软件保护的方法
文件加密和解密工具
10-26
请输入加密和解密密码:88886666
GG内存dump so 以及修复
日常技术分享
06-11 4690
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输出至文件中将文件pull到电脑中查看在文件中找到so内存地址。
ELF section修复的一些思考
ThomasKing2014的专栏
10-01 2178
原帖:http://bbs.pediy.com/showthread.php?t=192874
ELF文件格式学习,section修复
yi_nuo_wang的专栏
05-22 5886
0x0001 小弟学习Android逆向也有一段时间,翻看大神们的帖子收获了不少,开始对ELFso文件很感兴趣,尤其对内存dump和修复的技术很好奇,看了ThomasKing的ELF section修复的帖子更是深受启发,链接:http://www.52pojie.cn/thread-294642-1-1.html,通过帖子中给出的修复思路,再配合一篇关于ELF文件结构解析的文章让小弟完整
linux下的加密工具下载,Linux下ELF文件加密工具
weixin_36371504的博客
05-04 420
root@localhost]# ./burneyeusage: ./burneye [options] banner options-b file display banner from 'file' before start-B file display banner from 'file' on tty before start...
【BUG】ELF文件执行时出现段错误Segmentation fault,解决:使用010编辑器修改ELF文件不可执行段权限
shandianchengzi的博客
05-25 1993
010修改ELF文件的段属性
ELF section修复的一些思
键盘的起始页
07-10 840
终于抽出时间整理了。。。 限于本菜水平有限,难免会有很多错误和不足之处,请各位大牛指正,小弟感激不尽。 ------------------------------------------------------------------------------------------- 一、 概述 相信各位读者对so分析都采用静态和动态相结合的方式,静态分析常用readelf、objdump、ida等工具,这些工具对so文件的分析都会使用到Section信息。从这篇帖子中http://bbs....
32 位 ELF 头文件
04-02
32 位 ELF 头文件是一种用于描述 ELF 文件结构的数据结构,它包含了 ELF 文件的各种信息,如文件类型、入口地址、程序头表和节头表等。 以下是 32 位 ELF 头文件的结构: ``` typedef struct { unsigned char e_ident[EI_NIDENT]; // ELF 文件标识 Elf32_Half e_type; // 文件类型 Elf32_Half e_machine; // 处理器架构 Elf32_Word e_version; // 文件版本 Elf32_Addr e_entry; // 程序入口地址 Elf32_Off e_phoff; // 程序头表偏移量 Elf32_Off e_shoff; // 节头表偏移量 Elf32_Word e_flags; // 处理器标志 Elf32_Half e_ehsize; // ELF 头大小 Elf32_Half e_phentsize; // 程序头表项大小 Elf32_Half e_phnum; // 程序头表项数量 Elf32_Half e_shentsize; // 节头表项大小 Elf32_Half e_shnum; // 节头表项数量 Elf32_Half e_shstrndx; // 节名字符串表索引 } Elf32_Ehdr; ``` 其中,`e_ident` 字段是 ELF 文件的标识,它包含了 ELF 文件的魔数、类别、数据编码方式、版本等信息。`e_type` 字段表示文件类型,例如可执行文件、共享库、目标文件等。`e_machine` 字段表示处理器架构,例如 x86、ARM 等。`e_entry` 字段表示程序入口地址,即程序开始执行的地方。`e_phoff` 字段表示程序头表的偏移量,`e_shoff` 字段表示节头表的偏移量。 除了以上字段之外,还有一些其他的字段,如 `e_flags` 表示处理器标志,`e_ehsize` 表示 ELF 头大小,`e_phentsize` 表示程序头表项大小,`e_phnum` 表示程序头表项数量,`e_shentsize` 表示节头表项大小,`e_shnum` 表示节头表项数量,`e_shstrndx` 表示节名字符串表索引等。这些字段的含义可以根据 ELF 文件规范进行理解。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值