记一次xxmain.so 从去花到魔改算法还原

文章预览

本文章仅做移动安全学习交流用途，严禁作其他用途。 目标版本是8.0.65。 目标算法是s***leSign 目标位置:0xbe11c。 所用工具: IDA Pro, 010 Editor, unidbg, frida。 一 去花! IDA简单分析 把目标so拖进ida 让ida狠狠的分析这个so。 当IDA分析完成后 按快捷键G跳转到我们目标函数的位置。 可以看到这个地方的都被识别成数据段了，按C把它强制转成代码，再按P把它定义成一个函数。 正当我按下f5以为可以高枕无忧，狠狠分析的时候，显示的内容却让我傻了眼。 发现有花指令[垃圾指令]的存在干扰了IDA的线性分析，索性撂挑子不干了，直接显示一个JUMPOUT。 去到0xBE168看看怎么个事。 可以看到，当程序正常的执行流走到0xBE164处先进行了一个压栈的操作，随后加载了一个DWORD存储到R0然后就跳转到了SUB_E9DE0函数，到这里IDA就飘红了。 再去看看SUB_E9DE0函数: 简单分析一下可 ………………………………