文档章节

UPX为APK加壳中.init段相关问题

RenKaidi
 RenKaidi
发布于 2016/02/04 23:44
字数 856
阅读 700
收藏 1

感谢UPX的维护者们.最近在读UPX源码,目的是为.so文件加壳玩.
在此之前阅读了大部分我能搜到的中文相关内容.很多语焉不详,所以综合了一下,编译出了Linux下的版本.
本文简单说明了以下内容:

  • 为什么一些.so在新版编译的UPX中压缩无法通过.
  • .init段的一些简单探索

编译UPX

你可以参考这里,step by step.Android NDK UPX加固作者:fallrain

无法编译的一点情况

UPX最新版d9e7cb4b5485用VS编译会报错-无法识别的导出符号.另外还有一些问题,动态结构体数组不能直接声明.需要动态申请.这都是小问题,根据报错信息很容易解决.真正的关键在于对于加壳.so动态链接库会提示无法识别的文件格式.当前我还没有在windows平台编译成功最新版.

编译的小科普

源代码如果跨平台,通过不同的编译选项可以编译成不同平台的程序.
功能不变.

无法加壳

我编译成功UPX的Linux版后,发现加壳Android上的.so动态链接库文件会报“未知文件格式”.在使用一定数量的不同类型.so后.认为要么UPX压缩.so的传言为虚,要么我们的.so文件统统有问题..init多篇网文反复提到UPX只能压缩具有该”区段”的内容.

UPX区分格式的方法

压缩可执行程序肯定不能像压缩软件那样直接一套通用算法就能搞定,得针对不同格式做出相应安排,UPX是如何区分文件格式的呢?
它是确定大致可执行文件类型,然后挨个格式试验canPack,一旦发现格式不对,不符合此种格式的标准就抛异常.
最后一个canPack也不符合就告诉大家这个文件”未知文件格式”.

听说必须要有.init段才能运行时解压缩,手头的.so文件都没有.init段.那是不是随便找个段添加进去就可以了呢?还是找个段改个名字?我们调试一下,它是在什么时候pass我们的.

问题锁定

UPX支持的格式果然很多,然后各种不好找.最终找到.so文件判断过程的过程在p_lx_elf.cpp

if (/*jni_onload_sym ||*/ elf_find_dynamic(Elf32_Dyn::DT_INIT)) {
......

DT_INIT不存在就会跳过.DT_INIT是什么东东?查看ELF格式的解析,好像是北大软件学院做的.里面有一句说:dynamic区段中标志为0xC的内容为init,即后面的值指向初始化地址.

经过验证:如果你的.so文件有_init段,区段dynamic中就会有一个标志等于0xC,其地址指向初始化区段文件偏移地址.
另外_init并非区段,只是一个导出函数.NDK会生成对应的区段并融合在某个大区段中,所以你从区段表看不到它.至于它的作用如何网文介绍很多,不再赘述.

结语

最终我完成了它的Linux版编译和.so加壳.

书写2016年1月28日 21:59:07
修订2016年2月4日 23:39:40

© 著作权归作者所有

共有 人打赏支持
RenKaidi
粉丝 5
博文 9
码字总数 5103
作品 0
其他
程序员
私信 提问
加载中

评论(4)

RenKaidi
RenKaidi

引用来自“hsxf”的评论

你好,那你最终是在so上加.init段?还是做了什么修改?假设你有一个.so文件但是没有这个文件的源码,你怎么给这个.so加init段?

不好意思,最近几个月没上oschina@hsxf 仔细想想并不是非加不可.因为加上的目的也只是在Dynamic表中增加了一个地址罢了.关键是UPX只是简单的查找Dynamic中是否存在指向init的结构.如果找不到就会报错.我们可以对任意没有INIT的SO进行添加INIT的简单处理.但是需要注意的一点是:INIT的地址处理.因为据我试验,UPX在执行完自身解密代码后,会执行原INIT内的代码...
hsxf
hsxf
你好可以加你QQ么
hsxf
hsxf
你好,那你最终是在so上加.init段?还是做了什么修改?假设你有一个.so文件但是没有这个文件的源码,你怎么给这个.so加init段?
stormm
stormm
写的很好,学习了79
UPX为APK加壳中.init段相关问题[补充]

今天无意中登入了oschina(真的是无意),看到有小伙伴发评论给我提了一些问题.随着对SO研究的深入,我对文章中语焉不详之处,进行一些补充. UPX能否用VisualStudio进行编译?如何编译? 看这里:UP...

RenKaidi
2016/04/16
115
0
梆梆加固方案分析和破解

一、梆梆安全加固方案技术分析 样例分析环境: APK包: 齐鲁银行 运行环境:安卓模拟器4.4.2 CPU平台:ARM平台,(X86暂不分析) 分析工具:JEB,APKIDE,IDA 6.6及HEX编辑工具等 (1)APK包...

978696771
2015/11/05
5.1K
0
纯干货:Android APP 防破解进化史

Android平台以其免费和开源的特性使其占据了移动领域大半壁江山,越来越的人投身到移动应用开发中,但本文恐怕要先给Android应用开发者泼盆冷水,据360发布的《2014年中国手机安全状况报告》...

开源小猫
2015/04/29
43
0
Android应用安全隐患现状,资源文件加密/安全防护进化史

前言 有安全数据显示,2014全年,Android用户感染恶意程序3.19亿人次,平均每天恶意程序感染量达到了87.5万人次。同时,Android应用被破解和盗版等事件也层出不穷。很明显,Android平台已经成...

a125138
2015/06/04
0
0
天台人满为患,不如来看下这个Ramnit蠕虫分析

  *本文原创作者:gechengyu,本文属FreeBuf原创奖励计划,未经许可禁止转载   今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置,心凉了,事儿还得做,先从网上抓个可疑样本压压...

FreeBuf
2018/06/28
0
0

没有更多内容

加载失败,请刷新页面

加载更多

从 JVM 分析 hibernate-validator NoClassDefFoundError

最近排查一个spring boot应用抛出hibernate.validator NoClassDefFoundError的问题,异常信息如下: Caused by: java.lang.NoClassDefFoundError: Could not initialize class org.hibernat......

微笑向暖wx
18分钟前
1
0
c++指针和字符串

==============================

天王盖地虎626
23分钟前
2
0
从 JVM 分析 hibernate-validator NoClassDefFoundError

最近排查一个spring boot应用抛出hibernate.validator NoClassDefFoundError的问题,异常信息如下: Caused by: java.lang.NoClassDefFoundError: Could not initialize class org.hibernat......

java菜分享
28分钟前
2
0
超500款社交APP对标微信,细分未来社交领域

“微信之父”张小龙在2019微信公开课PRO活动上透露,截止2018年8月,微信的日登录量已超过10亿。腾讯2018年三季度财报显示,QQ智能终端月活跃账户达6.98亿人。 当前微信和QQ无疑是中国最大且...

ThinkSNS账号
35分钟前
1
0
Fiddler 抓包工具总结

序章 Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作。也可以用来检测网络安全。反正好处多多,举之不尽呀!当年学习的时候也蛮费劲,一...

javaer
37分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部