so文件,加密函数,做了什么处理
最近在逆向过程中,遇到了一个so文件,字符串 都是可见,我想调用这个so文件,无法进行调用,本来是执行加密操作,这个so文件,我尝试了n多种方法
可以很确定,此so是采用的静态注册,.非动态注册,因为我在 linker dlsym 打开函数地址下断,如果我们自己写的函数,这个函数返回后,直接返回的是 函数的实现地址,
而这个so,在打开函数地址下断,返回后,有一个函数的返回地址,而我跳转到他哪个函数返回地址, 却是 一个debug00x 的一个区域,跳转过去,却又明显不对,
链接: https://pan.baidu.com/s/1Ep42a0Vl-r18GXzDodisTw 提取码: yvkg 样本地址,
这个so 加载so库的时候,有签名校验,已经给过掉,
这个so会创建两个线程,就是防止附加的在导出搜索 prevent_attach有两个,直接这里打断点,然后把新开启的两个线程,暂停掉就可以正常的动态调试了
这是我动态调试调用成功加密后,
而我自己想调用却失败,大家一起讨论讨论,这个so采取了什么处理方式,
知道函数地址了去F5啊... 二师兄。 发表于 2020-12-22 11:04
知道函数地址了去F5啊...
地址 ,过去就是debug 001 这种
根本不是真实的地址 ,要是有怎么简单,就好啦 我也有个SO加密函数 会反编译的大佬私信我
一起研究
页:
[1]