Android so檔案脫殼思路（java版）附源碼

本文針對Android so本加密的情況，且解密算法在.init_array段的函數中，目標是去掉加密的算法，然後對dump出來的so進行修復，然後再放回到apk包中，使之能正常的跑起來。脫殼思路如下：
（1）準備工作：使用IDA調試apk，使之斷點再so的JNI_Onload函數的第一行，一般來說都是「PUSH    {R4-R7,LR}」類似的一行。
這時，通過ctrl+s找到so的起始地址和結束地址，然後將起始地址和結束地址之間的資料拷貝出來，保存成一個so。
這裡假定原so名稱為：liba.so，從記憶體中拷貝出來的so名稱為：liba_dump.so
(2)  修復工作一般包含如下方面：
2.1 將Segment（程式段）頭拷貝到liba_dump.so中，這個操作主要是為了在IDA能進行靜態解析。
2.2 將Section（節）頭拷貝到liba_dump.so中，這個操作主要是為了在IDA能進行靜態解析。
2.3 因為ProgramSegment一般位於so的頭部一端（也就是頂部），而Section頭一般位於so的尾部一端（也就是底部）

所以，需要判斷下尾部是否發生了偏移，如果Section頭資料的起始地址（offset）正好處於偏移的資料中，則需要重新計算偏移後的地址（一般
就是+0x1000），然後再拷貝到liba_dump.so中


2.4 更新在映射到記憶體過程中，不變的資料。
2.5 將在.init_array段中出現的，在.rel.dyn的重定位項設定為0，然後將.init_array段全部資料置0
2.6 將修復後的資料寫入到新的檔案中，比如：liba_repair.so， 該so可以直接放入到原apk中，程式可以正常的跑起來。


直接上java代碼吧。歡迎拍磚。

1. package com.tudou.soshelltest;
   
2. 
   
3. import java.io.ByteArrayOutputStream;
   
4. import java.util.List;
   
5. 
   
6. import com.tudou.soshell.ELF32_Phdr;
   
7. import com.tudou.soshell.ELF32_Shdr;
   
8. import com.tudou.soshell.ELFType32;
   
9. import com.tudou.soshell.ELFUtils;
   
10. 
    
11. 
    
12. public class MGPBaseMainRepair {
    
13.      
    
14.     public static String sofile = "so/liba.so";
    
15.     public static String dumpsofile = "so/liba_dump.so";
    
16.     public static String repairsofile = "so/liba_repair.so";
    
17.      
    
18.     public static void main(String[] args){
    
19.         try {
    
20.             byte[] srcElfFileBytes = ELFUtils.readFile(sofile);     
    
21.             ELFType32 elfsrc = new ELFType32(srcElfFileBytes);
    
22.             //讀取頭部內容
    
23.             elfsrc.parseELFHeader();
    
24.      
    
25.             //讀取程式頭訊息
    
26.             elfsrc.parseSegmentHeader();
    
27.             elfsrc.printSegmentHeaderList();
    
28.             elfsrc.parseDynamicSegment();
    
29.             /*
    
30.              * 解析段名稱
    
31.              */
    
32.             elfsrc.parseSectionNames();
    
33.             //讀取段頭訊息
    
34.             elfsrc.parseSectionHeader();
    
35.             elfsrc.printSectionHeaderList();
    
36.             elfsrc.parseSectionHeaderDetail();
    
37.             
    
38.             byte[] destElfFileBytes = ELFUtils.readFile(dumpsofile);        
    
39.             ELFType32 elfdest = new ELFType32(destElfFileBytes);
    
40.             //讀取頭部內容
    
41.             elfdest.parseELFHeader();
    
42.      
    
43.             //讀取程式頭訊息
    
44.             elfdest.parseSegmentHeader();
    
45.             elfdest.printSegmentHeaderList();
    
46.     //      elfdest.parseDynamicSegment();
    
47.             
    
48.             /*
    
49.              * dump出來的so（待處理的so）沒有Section頭訊息，無需解析
    
50.              */
    
51.     //      elfdest.parseSectionHeader();
    
52.     //      elfdest.printShdrList();
    
53.     //      elfdest.printShdrDetailList();
    
54.             /*
    
55.              * 修復步驟
    
56.              * 1、將Segment（程式段）頭拷貝到dump.so中
    
57.              * 2、將Section（節）頭拷貝到dump.so中
    
58.              * 3、因為ProgramSegment一般位於so的頭部一端（也就是頂部），而Section頭一般位於so的尾部一端（也就是底部）
    
59.              *      所以，需要判斷下尾部是否發生了偏移，如果Section頭資料的起始地址（offset）正好處於偏移的資料中，則需要重新計算偏移後的地址（一般
    
60.              *      就是+0x1000），然後再拷貝到dump.so中
    
61.              *  4、更新在映射到記憶體過程中，不變的資料。
    
62.              *  5、將在.init_array段中出現的，在.rel.dyn的重定位項設定為0，然後將.init_array段全部資料置0
    
63.              */
    
64.             System.out.println("
66. ********************************************************************************");
    
67.             System.out.println("************************************ 開始修復 **********************************");
    
68.             System.out.println("********************************************************************************
70. ");
    
71.             /**
    
72.              * 判斷是否需要移動Section頭訊息
    
73.              */
    
74.             int __SECTION_START_OFFSET__ = 0;
    
75.             List<ELF32_Shdr> srcShdrList = elfsrc.secheaderList;
    
76.             if(srcShdrList != null && srcShdrList.size() > 0){
    
77.                 /*
    
78.                  * 當檔案偏移地址與記憶體載入時地址不一致時，dump出來的so檔案，會按照記憶體中的偏移保存到檔案中。
    
79.                  */
    
80.                 int startoffset = 0;
    
81.                 for(ELF32_Shdr shdr : srcShdrList){
    
82.                     /*
    
83.                      * 第一步：更新Section節offset，使之與addr一樣。（offset是在檔案內的偏移，addr是載入後記憶體的偏移）
    
84.                      */
    
85.                     int offset = ELFUtils.byte2Int(shdr.sh_offset);
    
86.                     int addr = ELFUtils.byte2Int(shdr.sh_addr);
    
87.     //              int size = Utils.byte2Int(shdr.sh_size);
    
88.                     if(addr > 0 && offset > 0 && Math.abs(addr - offset) == 0x1000){
    
89.                         if(startoffset == 0){
    
90.                             startoffset = ELFUtils.byte2Int(shdr.sh_offset);
    
91.                         }
    
92.                         if(__SECTION_START_OFFSET__ == 0){
    
93.                             __SECTION_START_OFFSET__ = startoffset;
    
94.                         }
    
95.                         System.arraycopy(shdr.sh_addr, 0, shdr.sh_offset, 0, 4);
    
96.                     }else if((offset > startoffset) && addr == 0){
    
97.                         offset += 0x1000;
    
98.                         byte [] offsetbytes = ELFUtils.int2Byte(offset);
    
99.                         System.arraycopy(offsetbytes, 0, shdr.sh_offset, 0, 4);
    
100.                     }
     
101.                 }
     
102.                 ELFUtils.log("在源包上，更新section的offset，使之與addr一樣");
     
103.             }
     
104.             
     
105.             List< ELF32_Phdr> srcPhdrList = elfsrc.proheaderList;
     
106.             if(srcPhdrList != null && srcPhdrList.size() > 0){
     
107.                 /*
     
108.                  * 當檔案偏移地址與記憶體載入時地址不一致時，dump出來的so檔案，會按照記憶體中的偏移保存到檔案中。
     
109.                  */
     
110.                 int startoffset = 0;
     
111.                 for( ELF32_Phdr phdr : srcPhdrList){
     
112.                     /*
     
113.                      * 第二步：更新Segment節offset，使之與addr一樣。（offset是在檔案內的偏移，addr是載入後記憶體的偏移）
     
114.                      */
     
115.                     int offset = ELFUtils.byte2Int(phdr.p_offset);
     
116.                     int vaddr = ELFUtils.byte2Int(phdr.p_vaddr);
     
117.                     if(vaddr > 0 && offset > 0 && Math.abs(vaddr - offset) == 0x1000){
     
118.                         if(startoffset == 0){
     
119.                             startoffset = ELFUtils.byte2Int(phdr.p_offset);
     
120.                         }
     
121.                         System.arraycopy(phdr.p_vaddr, 0, phdr.p_offset, 0, 4);
     
122.                     }else if((offset > startoffset) && vaddr == 0){
     
123.                         offset += 0x1000;
     
124.                         byte [] offsetbytes = ELFUtils.int2Byte(offset);
     
125.                         System.arraycopy(offsetbytes, 0, phdr.p_offset, 0, 4);
     
126.                     }
     
127.                 }
     
128.                 ELFUtils.log("在源包上，更新segment的offset，使之與addr一樣");
     
129.             }
     
130.             
     
131.             /*
     
132.              * 第四步：將源包的Section頭訊息更新到dump包上
     
133.              */
     
134.             ByteArrayOutputStream baos = new ByteArrayOutputStream();
     
135.             for(ELF32_Shdr shdr : srcShdrList){
     
136.                     baos.write(shdr.toByteArray());
     
137.             }
     
138.             baos.close();
     
139.             baos.flush();
     
140.             byte [] updateSectionDumpBytes = baos.toByteArray();
     
141.             elfdest.updateSectionHeader(updateSectionDumpBytes);
     
142.             System.out.println("將源包的Section頭訊息更新到dump包上");
     
143.             
     
144.             /*
     
145.              * 第五步：將源包的Segment頭訊息更新到dump包上
     
146.              */
     
147.             ByteArrayOutputStream pbaos = new ByteArrayOutputStream();
     
148.             for(ELF32_Phdr shdr : srcPhdrList){
     
149.                 pbaos.write(shdr.toByteArray());
     
150.             }
     
151.             pbaos.close();
     
152.             pbaos.flush();
     
153.             byte [] updateSegmentDumpBytes = pbaos.toByteArray();
     
154.             elfdest.updateProgramHeadert(updateSegmentDumpBytes);
     
155.             System.out.println("將源包的Segment頭訊息更新到dump包上");
     
156. 
     
157.             /*
     
158.              * 第六步：更新其他Section節
     
159.              */
     
160.             elfdest.shstrtab = elfsrc.shstrtab;
     
161.             elfdest.dynamic = elfsrc.dynamic;
     
162.             elfdest.dynstr = elfsrc.dynstr;
     
163.             elfdest.comment = elfsrc.comment;
     
164.             elfdest.noteGunGoldVe = elfsrc.noteGunGoldVe;
     
165.             elfdest.armattributes = elfsrc.armattributes;
     
166.             elfdest.data = elfsrc.data;
     
167.             elfdest.got = elfsrc.got;
     
168.             
     
169.             elfdest.copySectionList(elfsrc.secheaderList);
     
170.             elfdest.copySegmentList(elfsrc.proheaderList);
     
171.             elfdest.setZeroInitArray();
     
172.             elfdest.updateSectionData();
     
173. 
     
174.             /*
     
175.              * 第七步：一般情況下，Program Segment頭訊息位於elf的頂部，Section頭訊息位於elf的底部
     
176.              * 從記憶體中dump出來時，有可能Section頭訊息需要移動位置
     
177.              */
     
178.             int shoff = ELFUtils.byte2Int(elfdest.elfheader.e_shoff);
     
179.             if(shoff > __SECTION_START_OFFSET__){
     
180.                 System.out.println("準備移動Section頭訊息。。。");
     
181.                 shoff += 0x1000;
     
182.                 byte [] offsetbytes = ELFUtils.int2Byte(shoff);
     
183.                 System.arraycopy(offsetbytes, 0, elfdest.elfheader.e_shoff, 0, 4);
     
184.                 byte [] dataupdate = elfdest.elfheader.getSrcDataUpdate();
     
185.                 elfdest.updateELFHeader();
     
186.                 elfdest.updateSectionHeader(updateSectionDumpBytes);
     
187.                 System.out.println("將源包的Section頭訊息更新到dump包上，第二次更新");
     
188.             }else{
     
189.                 System.out.println("不需要移動Section頭訊息");
     
190.             }
     
191.             
     
192.             /*
     
193.              * 第八步：保存到檔案
     
194.              */
     
195.             ELFUtils.saveFile(repairsofile, elfdest.getELFFileBytes());
     
196.         } catch (Exception e) {
     
197.             // TODO Auto-generated catch block
     
198.             e.printStackTrace();
     
199.         }
     
200. 
     
201.     }
     
202. 
     
203. 
     
204. }

複製代碼