DLL 덤프

안드로이드

DLL 덤프

1 siand FRIDA 9 11699 1 2019.10.17 17:48

var started = false;

var dll_name_list = [];

Interceptor.attach(Module.findExportByName("libc.so", "dlsym"), {

onEnter: function(args) {

if (started) {

return;

}

var name = Memory.readUtf8String(args[1]);

if (name.indexOf("mono_image_open_from_data_with_name") == 0) {

started = true;

}

onLeave: function(a0) {

if (started) {

console.log("mono_image_open_from_data_with_name address : " + a0);

Interceptor.attach(a0, {

onEnter: function(args) {

var message = {};

var name = Memory.readUtf8String(args[5]);

if(dll_name_list.indexOf(name) != -1){

return;

};

dll_name_list.push(name);

if (name.indexOf("Assembly-") == -1) {

return;

}

message["data"] = args[0];

message["data_len"] = args[1].toInt32();

message["need_copy"] = args[2];

console.log("data address : " + message["data"]);

console.log("data length : " + message["data_len"]);

console.log("need copy : " + message["need_copy"]);

});

started = false;

}

});

9 Comments

6 하늘사자 2019.10.19 00:00

mono_image_open_from_data_with_name 이게 무슨 함수 인지는 잘 모르겠지만

mono 로딩시 .net vm에서 이벤트를 호출할때 매번 dlsym 로 확인한 다음 이벤트 호출이 되는걸로 판단 되네요..

혹시 il2cpp도 유사 개념이 있을까요?

공유 감사합니다.

S 코드몽키 2019.10.19 06:23

http://linforum.kr/bbs/board.php?bo_table=android&wr_id=5&sca=%EA%B0%95%EC%A2%8C

mono_image_open_from_data_with_name 는 해당 게시글 3번을 보시면됩니다^^

6 하늘사자 2019.10.19 16:57

일전에 보긴 했는데 직접 안해봐서 그런지.. 정확히 이해 못했는데 덕분에 이해가 잘 되었습니다.
답변 감사합니다^^..

2 unclebob 2019.10.20 14:36

js? py?

3 하이큐 2019.10.20 14:37

딱바도 js

7 래바리 2020.04.03 18:40

감사합니다.

Congratulation! You win the 18 축하드립니다! 당첨되셨어요~!

1 Akii 2020.07.17 22:46

감사합니다

12 모야모야 2020.08.17 16:48

이건 도움이 되겠군요!

1 dGVzdA 2021.03.21 19:51

dll 덤프까지! 감사합니다.

로그인한 회원만 댓글 등록이 가능합니다.

이전 다음 목록