so文件混淆

beierer · 发表于 2023-12-7 17:06

最近在抓包的时候遇见一个加密需要到so里面去抓，然后找到了加密的so和加密函数的地址后。发现这里好像用了什么so混淆的方法，让所有的命令码都变成了%1。这种情况之前记得在什么地方看见过，可惜当时没有珍惜，直到现在失去了才追悔莫及，不知有大佬可以救救嘛。

芽衣 · 发表于 2023-12-11 15:22

这个是动态的时候才会有值

beierer · 发表于 2023-12-11 20:32

芽衣发表于 2023-12-11 15:22
这个是动态的时候才会有值

这样啊，谢谢大佬，那这种情况一般是怎么处理呀，用ida动态调试嘛？有没有什么办法可以还原出原文件呀，就是类似于脱壳的那种

芽衣 · 发表于 2023-12-12 09:03

beierer 发表于 2023-12-11 20:32
这样啊，谢谢大佬，那这种情况一般是怎么处理呀，用ida动态调试嘛？有没有什么办法可以还原出原文件呀， ...

seg是缺省寄存器的值，你是不是找错地方了。不在动态中怎么知道是什么内容

beierer · 发表于 2023-12-12 13:22

芽衣发表于 2023-12-12 09:03
seg是缺省寄存器的值，你是不是找错地方了。不在动态中怎么知道是什么内容

em....我是通过frida去hook了一下他那个动态注册native函数的方法，然后hook到了我想要知道的那个函数的地址以及对应的so，然后我就去用ida打开那个so想看一下他的加密逻辑，然后就遇到了这种情况。对于这种hook我也是第一次做，所以好多地方没搞懂

，一般佬们遇见这种情况是继续用frida处理嘛，还是用什么办法

帐号		自动登录	找回密码
密码			注册[Register]

[Android 求助] so文件混淆