好友
阅读权限20
听众
最后登录1970-1-1
|
本文作者:七少月
1.我们要达到什么目地?
我们逆向APK时,如今对于so一般来说是肯定要做修改的,然而IDA修改汇编代码,不像OD可以直接修改汇编指令,必须通过WINHEX等修改十六进制。我们仅仅知道00表示代码清除,90表示NOP指令,即空指令。但仅仅删除一行代码这样的修改肯定是满足不了需要的。我们需要深入修改一点。
2.Intel8086与ARM基础知识
Intel8086是英特尔公司的16位处理器,ARM是ARM公司的32位处理器。每个处理器都对应自己的一套汇编语言,所以两个处理器分别对应于8086汇编和ARM汇编。由于处理器的位数,所以8086汇编指令的机器码是16位,而ARM汇编指令的机器码就是32位。机器码可以看作是二进制指令,其实所谓的HEX即称为十六进制操作码或十六进制机器码,也是二进制指令,只是把二进制的数值用十六进制去展示。
3.ARM汇编非常重要
ARM汇编可以做的事情在我看来比8086汇编多得多,如果你会了ARM,就会了主流的嵌入式开发,然后就是硬件编程,然后就是机器人或机械制造。所以,ARM真的非常重要,希望可以去认真学习,不仅是ARM指令集,还有ARM的机器码的原理,以及ELF文件在linux下的objdump反编译。下面只能简单讲解。
4.ARM的机器码简单讲解
ARM机器码为32位,我们以跳转指令BL和BEQ为例讲解。其实我们只需要关注最高的8位,也就是24-31位。首先来看,28-31这四位,不同条件这四位有什么不同。然后在27-24这四位里,BL和BEQ都是1010.所以BL指令的二进制是11101010,即十六进制的EA;相同BEQ的十六进制就是0A。
5.SO里面的情况
当我们把SO里的汇编语言放到工具中去转换为HEX时,会发现和IDA中的HEX有时是完全不同的,这是因为IDA中有时反编译SO使用的不是ARM,而是16位的ARM,也就是Thumb指令,但有时却是ARM的32位指令。
6.修改汇编跳转指令
这种情况一般是Thumb指令,一般而言一行代码对应是2个HEX码。
例子:bne指令修改为beq指令
通过工具,我们发现bne跳转指令对应的HEX机器码是D1,beq对应的HEX机器码是D0,然后用WINHEX修改,再用IDA检测。
7.修改数据
这种情况一般是ARM指令,一般而言一行代码对应是4个HEX码。
例子:修改小黄人快跑中初始化金币量
so里面原来ARM代码:mov R1,#0x49C8
最大可改为0XFFFF,也就是65535,修改后的代码应为:mov R1,#0xFFFF
原本的代码对应的HEX:C8 19 04 E3,为什么是这个样子,这和8086汇编有类似之处,就是十六进制和汇编代码是大体颠倒的。最后的E3是MOV这个汇编指令。我们做一个正确的颠倒:E3 01 49 C8。这下就懂了吧!所以,我们改为FF 1F 0F E3。
当然,为了方便,可以直接使用工具,不过这样的分析能够极大增强大家ARM分析的能力。不过不要寄太多希望于工具,因为很多时候,工具会发生错误或者和IDA中的HEX-VIEW情况不一致,也不利于我们学习的。所以工具只是辅助,主要还是动脑子。
8.修改字符串
这种情况比较简单,字符串就是字符串,修改字符串的HEX码就是利用ASCII转HEX的工具就可以,我们可以对比两个so来看看。当然最简单修改办法,是用WINHEX直接在右边修改字符串。其实,这和修改文本是一样的,记事本,notepad都可以。手机端的MT,HEXEDITOR,十六进制编辑器等等也都可以修改SO的字符串,推荐使用默小坑兄弟的ADK编辑器。
视频下载地址:http://pan.baidu.com/s/1qWMJF4K
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2015-8-11 09:32
|
发表于 2015-8-13 02:30
