吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2031|回复: 12
上一主题 下一主题
收起左侧

[Android 原创] dump网易加固的libUE4.so

  [复制链接]
跳转到指定楼层
楼主
jbczzz 发表于 2024-10-9 12:30 回帖奖励
本帖最后由 jbczzz 于 2024-10-9 13:45 编辑

0x0 前言
刚好最近有空,顺便再记录一下之前一次dump莉莉丝的farlight84 libUE4遇到的问题,他本来用的tx的安全,后面不知道为啥换成网易的。
0x1 dump libUE4.so
他这个so本身也是有加密的,需要dump加载解密后的libUE4.so,首先用ue4dumper尝试dump一下,结果发现提示不是elf文件。

他这个提示头错误不是elf文件,那可能就是elf头有问题,试试手动给他dump下来,首先找PID
[Asm] 纯文本查看 复制代码
ps -ef|grep farlight84


找到pid之后,用这个命令找到libUE4.so的起始地址和结束地址
[Shell] 纯文本查看 复制代码
cat /proc/25093/maps|grep libUE4


用这个命令dump内存 skip=开始内存地址(10进制) count=dump内存大小(10进制)
[Shell] 纯文本查看 复制代码
dd if=/proc/25093/mem of=/data/local/tmp/libUE4.so skip=502757203968 bs=1 count=371871744


ok,现在已经成功dump了内存了,那么接下来看看他这个到底是个什么东西。
0x2 分析dump后的libUE4.so
拖进010editor看看,果然不太对劲,elf头被修改了,怪不得

上面这个是dump后的libUE4头,下面这个是原版的libUE4头

那么很简单,直接给他替换过去就行。
0x3 修复dump后的libUE4.so
这里用sofixer去修复, https://github.com/F8LEFT/SoFixer

修复后的so IDA能正常识别了

0x4 小结
至此,dump libUE4的流程就结束了,后面dumpSDK那些没什么额外的处理。其实后面继续逆向的时候发现,他这种处理方式会导致某些工具因为识别不到elf头,找不到libUE4,例如ce和用某些栈回溯工具。

免费评分

参与人数 5吾爱币 +11 热心值 +3 收起 理由
xlln + 1 + 1 我很赞同!
正己 + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
vaycore + 1 谢谢@Thanks!
52rap + 1 + 1 谢谢@Thanks!
helian147 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

沙发
Xiaosesi 发表于 2024-10-9 13:29
感谢分享,涨知识了
3#
szba1120 发表于 2024-10-9 15:17
4#
jinghuasy001 发表于 2024-10-9 16:52
5#
zk1126853389 发表于 2024-10-10 08:10
感谢分享
6#
cqdgh 发表于 2024-10-10 23:27
涨知识了
7#
wapj1688 发表于 2024-10-10 23:31
顺便再记录一下之前一次
8#
xiiye 发表于 2024-10-11 07:53
感谢分享, 学习一下
9#
maoyj 发表于 2024-10-11 15:08
感谢楼主分享
10#
AdmireCreate 发表于 2024-11-12 19:12
很厉害。但是sofixer怎么用
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-11 22:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表