UPX 给 so 加壳之后,崩溃栈信息还能有效分析吗?如何解决?

2018-02-07 10:58:58 +08:00
 paparika
UPX 给 so 加壳之后,崩溃栈信息应该看不出对应函数名调用吧,对应的源文件位置能吗?怎么恢复?
10476 次点击
所在节点    Android
11 条回复
nyanyh
2018-02-07 12:15:06 +08:00
upx -d ?
paparika
2018-02-07 12:27:14 +08:00
@nyanyh 我的意思是崩溃发生时,符号信息什么的都没有了,看不出具体的函数名
zk8802
2018-02-07 13:01:08 +08:00
把 core dump 扔到 IDA 里面分析。没有函数名,可以和原来有函数名的可执行文件进行比较,手工或写个脚本自动把函数名映射回来。
paparika
2018-02-07 13:47:35 +08:00
@zk8802 谢谢回答。其实还不太理解,upx 和一般编译器带的 stripe 参数有啥区别呢,upx -d 就可以拿到符号表信息了,那岂不是还不如直接用 stripe 更安全?
BXLR
2018-02-07 13:59:18 +08:00
1.stripe 是擦除 so 节点的符号,so 装载时有些符号是用不到的,能用到的已经在动态段,这个段表的符号是有用的。
2.upx -d 是你在没改变 upx 源码的情况下,可以用来脱壳,解压缩的。
3.说的不是很清楚,推荐程序员的自我修养。
paparika
2018-02-07 14:53:05 +08:00
@BXLR 谢谢,回去看看这本书。容我再啰嗦下,stripe 应该是会增加反向工程的难度吧? 因为脱壳的存在,那么加壳之前是不是 stripe 应该一下更安全?
BXLR
2018-02-07 15:18:59 +08:00
@paparika 恩,去掉多余的符号之后,分析难度会大些。
jyf007
2018-02-07 16:41:37 +08:00
曾经我在上小学时遇到了一位安全大牛,他说那些书都是各种帖代码,一点用都没有,当时我在看所谓黑客的杂志,想起一种可执行文件加壳方式,叫虚拟机壳,说得他一愣一愣的,当然他的主题意思是这些都没有意义,只有攻防对立统一.
zk8802
2018-02-07 21:35:25 +08:00
大部分加密壳都会去掉多余的符号信息,你就不用单独 strip 了。UPX 是压缩壳,安全性本来就不是它的主要考虑。
paparika
2018-02-08 10:26:21 +08:00
@zk8802 了解了,有没有什么开源的加密壳可以用
zk8802
2018-02-08 11:41:44 +08:00
Google “ open source elf packer ”。

另外,有些壳的保护强度还不如 obfuscator-llvm。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/429126

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX