近來(lái)android上越來(lái)越多的應(yīng)用對(duì)自身的保護(hù)機(jī)制加強(qiáng)了重視，主要表現(xiàn)在幾個(gè)方面。

在石龍等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì) 網(wǎng)站設(shè)計(jì)制作按需設(shè)計(jì)網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都營(yíng)銷網(wǎng)站建設(shè),外貿(mào)網(wǎng)站建設(shè),石龍網(wǎng)站建設(shè)費(fèi)用合理。

   1 dex加殼

   2 so加殼

   3 dex藏在so中，在適當(dāng)?shù)臅r(shí)候釋放。

   這是技術(shù)上一個(gè)進(jìn)步，并且還有一些專業(yè)的公司提供了整個(gè)安全的解決方法，比如防ptrace，或者加密dex文件等。但是不管如何，在技術(shù)層面，cpu要運(yùn)行的指令還必須是cpu能夠支持的，除非不考慮效率利用復(fù)雜的動(dòng)態(tài)內(nèi)存機(jī)制來(lái)保護(hù)代碼，一般情況下，加載內(nèi)存的so或者dex等文件還都是原生態(tài)的cpu可以執(zhí)行的指令集。

   因?yàn)橛袝r(shí)候駭客要破解你精心涉及的算法是一件很麻煩的事情，他要求一條一條的看枯燥的匯編代碼，不是達(dá)不到，而是效率特別低。所以這個(gè)時(shí)候內(nèi)存dump卻是駭客們經(jīng)常采用的一種手段了。

   linux下的內(nèi)存dump離不開 ptrace，所以有些安全方案直接防止別的進(jìn)程對(duì)其ptrace，主要手段就是ptrace住自己。即便如此，依然有孜孜不倦的駭客成功繞開了防止ptrace的保護(hù)機(jī)制，關(guān)于這方面的事情，我以后有時(shí)間在專門寫一篇文章分享。今天只講如何內(nèi)存dump，內(nèi)存dump需要的ptrace目標(biāo)進(jìn)程。

   為了方便我個(gè)人的使用，我編寫了一個(gè)memdump工具，這是一個(gè)elf的可執(zhí)行文件，在android系統(tǒng)下adb shell進(jìn)去以后直接可以執(zhí)行。首先說一下這個(gè)工具的用法。

shell@android:/ # memdump
usage: memdump pid start_addr end_addr filaname
255|shell@android:/ #

用法十分簡(jiǎn)單，將memdump通過 adb push拷貝到你的手機(jī)里面，我是放在了/system/bin 下面了，這樣我不用每次找路徑，直接運(yùn)行命令即可。

然后后面需要有4個(gè)參數(shù)

pid                     要dump目標(biāo)進(jìn)程的進(jìn)程號(hào)
start_addr         要dump目標(biāo)進(jìn)程數(shù)據(jù)的虛擬起始地址
end_addr           要dump目標(biāo)進(jìn)程數(shù)據(jù)的虛擬結(jié)束地址
filename            dump出來(lái)的數(shù)據(jù)要保存的文件名稱（要求有路徑）

ok 介紹完了命令使用方法，下一步就具體操作一下如何使用的。

如圖一

上圖中我自己編寫了一個(gè) 包名為 com.example.socketcomm 的apk應(yīng)用，里面加載了一個(gè) libsocketback.so的庫(kù)，打開以后其進(jìn)程號(hào)為 11164 ，通過查看其maps信息，發(fā)現(xiàn)其可執(zhí)行的

代碼段在

56d34000-56d37000 r-xp 00000000 103:04 579426   
/data/data/com.example.socketcomm/lib/libsocketback.so

這三個(gè)物理頁(yè)面上

由于物理頁(yè)面是以0x1000對(duì)其，我不知道這個(gè)so具體的大小，但是沒有關(guān)系，先將其全部dump出來(lái)

再做處理。

如上圖，

memdump 11164 0x56d34000 0x56d37000 /sdcard/dump.so

通過這個(gè)命令將libsocketback.so  dump到了 /sdcard/dump.so

然后退出adb cmdline 以后，通過 adb pull 將 /sdcard/dump.so 拉到linux host機(jī)器上

再使用 readelf -h dump.so 查看 elf文件頭部，果然是

Type:                DYN (Shared object file)

這個(gè)共享對(duì)象。

仔細(xì)的同學(xué)會(huì)看到

readelf: Error: Unable to read in 0x370 bytes of section headers

這條錯(cuò)誤，產(chǎn)生的原因是 linux在加載so的時(shí)候是按照程序視圖的方式加載的，主要關(guān)心的是

Start of program headers:      52 (bytes into file)

這個(gè)開始的頭部信息，對(duì)于鏈接方式的視圖的 段名等數(shù)據(jù)并不敏感，所以直接從內(nèi)存dump出來(lái)的數(shù)據(jù)，是沒有 .symstrtab  .symtab  .strtab 這些段的，所以解析錯(cuò)誤也很正常。一般常用的修補(bǔ)so的方法是拿到原來(lái)的so，這個(gè)你只要有這個(gè)應(yīng)用就應(yīng)該能拿到，然后根據(jù)elf文件頭部，找到

Start of section headers:      12600 (bytes into file)

段表在文件中的偏移地址，拼接一下文件即可，這個(gè)程序的編寫需要對(duì)elf文件有一定的了解，回頭我會(huì)根據(jù)自己的研究和學(xué)習(xí)補(bǔ)充一些elf格式相關(guān)的博文。

從本質(zhì)來(lái)看，基本上這個(gè)時(shí)候的so中的指令都應(yīng)該是符合業(yè)務(wù)邏輯的指令了，dex文件的提取同理，這個(gè)時(shí)候大家可以通過ida工具對(duì)其進(jìn)行靜態(tài)分析。

附件為：memdump工具，我壓縮了一下，解壓即可，關(guān)于源代碼，誰(shuí)有需要在下面留個(gè)郵箱，我發(fā)過去即可。

附件：http://down.51cto.com/data/2364415

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享題目：Android安全講座第九層(二)內(nèi)存dump-創(chuàng)新互聯(lián)
分享URL：http://www.rwnh.cn/article8/jddop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、品牌網(wǎng)站建設(shè)、網(wǎng)站排名、ChatGPT、做網(wǎng)站、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)