本文为看雪论坛优秀文章
在回调处理函数中把写入内存的地址和写入的内容存到一个map对象中: 模块加载完,.init_array中的函数肯定也早就执行完了,就可以根据前面记录的内存修改操作去patch原so。这里只处理地址位于so加载地址段内的写内存操作,而且patch的时候要把记录的内存地址转换为相对so加载基址的偏移。
看雪ID:Avacci
https://bbs.pediy.com/user-home-879855.htm
# 往期推荐
2. 【分析记录】疑似Confucius组织组件CuoliVXaRAT分析
球分享
球点赞
球在看
点击“阅读原文”,了解更多!