文章目录
- 【反编译系列】一、反编译 .so 文件(IDA Pro)
- 1. 介绍
- 2. 反编译
- Reference
【反编译系列】一、反编译 .so 文件(IDA Pro)
1. 介绍
.so 文件是共享对象文件(Shared Object file)的一种形式,也被称为动态链接库(Dynamic Link Library,DLL)。
这种文件格式主要用于 Unix 和类 Unix 系统,如 Linux,来实现动态链接;在 Windows 系统上,相应的文件格式是 .dll(动态链接库)。
- 由来:
- 动态链接库(DLL)的概念:在编程中,为了避免在每个程序中都重复使用相同的代码,可以将一些通用的功能打包成库文件。这些库文件可以在程序运行时被加载,允许程序员共享这些代码。
- Unix 系统的需求:在 Unix 和 Linux 系统中,由于程序的数量庞大且相互依赖,动态链接变得尤为重要。
.so文件作为动态链接库,能够在程序运行时加载,提供了更好的灵活性和资源共享。
- 优点:
- 共享性:多个程序可以共享同一个
.so文件,从而避免了代码的重复存储,减小了程序的体积。 - 更新方便:如果
.so文件中的代码需要更新,只需替换文件而不必重新编译依赖该库的所有程序。 - 运行时加载:与静态链接库相比,动态链接库在程序运行时加载,而不是在编译时。这使得程序更加灵活,允许动态加载和卸载库。
- 共享性:多个程序可以共享同一个
- 文件格式:
- ELF格式:在 Linux 系统中,通常使用ELF(Executable and Linkable Format)格式来存储共享对象文件。ELF是一种通用的二进制文件格式,支持可执行文件、目标文件和共享对象文件。
- 函数导出:
.so文件中包含了可执行代码、数据和符号表等信息。函数和变量可以被导出,以供其他程序调用。
总体而言,共享对象文件提供了一种有效的方式,使得程序在运行时能够动态链接并共享代码,从而提高了代码的重用性、灵活性,并简化了软件的维护和更新。
2. 反编译
有一些专门用于反编译的工具,如 IDA Pro、Ghidra、Radare2等,这些工具通常提供了图形用户界面(GUI)和一些高级功能,使得分析和理解二进制文件更容易。
IDA Pro 反编译实现(Windows 版):
- 点击 链接 | 访问密码:9lf9 或 链接 下载安装包并解压缩,双击
ida64.exe:
- 选择一个
.so文件拖入 IDA 空白区并点击 OK:
- 等待一段时间后,就能看到
.so文件所对应的汇编代码了:
组件含义:
- Function name:各函数的名称,双击即可定位到对应函数的汇编代码;
- IDA View-A:显示汇编代码;
- Hex View-1:显示机器码(16 进制格式)。
- 左侧 Function name 中任意双击一个,再在右侧按下
F5键即可显示 C/C++ 源代码:
- 退出(默认即可):
Reference
【反编译系列】四、反编译so文件(IDA_Pro)
