好友
阅读权限20
听众
最后登录1970-1-1
|
最近在逆向过程中,遇到了一个so文件,字符串 都是可见,我想调用这个so文件,无法进行调用,本来是执行加密操作,
这个so文件,我尝试了n多种方法
可以很确定,此so是采用的静态注册,.非动态注册, 因为我在 linker dlsym 打开函数地址下断,如果我们自己写的函数,这个函数返回后,直接返回的是 函数的实现地址,
而这个so,在打开函数地址下断,返回后,有一个函数的返回地址, 而我跳转到他哪个函数返回地址, 却是 一个debug00x 的一个区域,跳转过去,却又明显不对,
链接: https://pan.baidu.com/s/1Ep42a0Vl-r18GXzDodisTw 提取码: yvkg 样本地址,
这个so 加载so库的时候,有签名校验,已经给过掉,
这个so会创建两个线程,就是防止附加的 在导出搜索 prevent_attach 有两个,直接这里打断点,然后把新开启的两个线程,暂停掉就可以正常的动态调试了
这是我动态调试调用成功加密后,
而我自己想调用却失败,大家一起讨论讨论,这个so采取了什么处理方式,
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-12-22 09:55
|
发表于 2020-12-22 11:23
