so文件混淆
最近在抓包的时候遇见一个加密需要到so里面去抓,然后找到了加密的so和加密函数的地址后。发现这里好像用了什么so混淆的方法,让所有的命令码都变成了%1。这种情况之前记得在什么地方看见过,可惜当时没有珍惜,直到现在失去了才追悔莫及,不知有大佬可以救救嘛。 这个是动态的时候才会有值 芽衣 发表于 2023-12-11 15:22这个是动态的时候才会有值
这样啊,谢谢大佬,那这种情况一般是怎么处理呀,用ida动态调试嘛?有没有什么办法可以还原出原文件呀,就是类似于脱壳的那种 beierer 发表于 2023-12-11 20:32
这样啊,谢谢大佬,那这种情况一般是怎么处理呀,用ida动态调试嘛?有没有什么办法可以还原出原文件呀, ...
seg是缺省寄存器的值,你是不是找错地方了。不在动态中怎么知道是什么内容 芽衣 发表于 2023-12-12 09:03
seg是缺省寄存器的值,你是不是找错地方了。不在动态中怎么知道是什么内容
em....我是通过frida去hook了一下他那个动态注册native函数的方法,然后hook到了我想要知道的那个函数的地址以及对应的so,然后我就去用ida打开那个so想看一下他的加密逻辑,然后就遇到了这种情况。对于这种hook我也是第一次做,所以好多地方没搞懂{:1_909:},一般佬们遇见这种情况是继续用frida处理嘛,还是用什么办法
页:
[1]