看到其他大神的插件,里面的脚本都有加密,例如postinst,直接打开都是乱码,这是用c写的么还是?求原理及方法
我还没见过postinst加密呢,上传一个样本看看?
感谢大神回复,刚买的书,一年都是自己瞎弄,很难找资料,有了你这本书真是一个入门的钥匙啊。已上传一个littlebrother,里面安装脚本就是加密的,我用ide看,好像有包括get插件版本和机器码到服务器,用于检测是否购买了插件
我看了一下,其实并没有加密,这里的postinst和prerm都不是脚本,而是可执行文件:
snakeninnys-iMac:~ snakeninny$ file /Users/snakeninny/Downloads/c6f5fbb89bae3fc7a805b50c04902a97200f15be/control/postinst
/Users/snakeninny/Downloads/c6f5fbb89bae3fc7a805b50c04902a97200f15be/control/postinst: Mach-O universal binary with 2 architectures
/Users/snakeninny/Downloads/c6f5fbb89bae3fc7a805b50c04902a97200f15be/control/postinst (for architecture armv7): Mach-O executable arm
/Users/snakeninny/Downloads/c6f5fbb89bae3fc7a805b50c04902a97200f15be/control/postinst (for architecture arm64): Mach-O 64-bit executable
可以直接拖到IDA里分析:
就是说直接把可执行文件重命名为脚本也是可以在安装package时运行咯
应该是的,执行过程应该是一样的
感谢回答,解开了我这段时间的疑惑。以后还有很多地方希望能得到您的指点。