【反编译系列】一、反编译 .so 文件（IDA Pro）

1. 介绍

.so 文件是共享对象文件（Shared Object file）的一种形式，也被称为动态链接库（Dynamic Link Library，DLL）。

这种文件格式主要用于 Unix 和类 Unix 系统，如 Linux，来实现动态链接；在 Windows 系统上，相应的文件格式是 .dll（动态链接库）。

1. 由来：
   • 动态链接库（DLL）的概念：在编程中，为了避免在每个程序中都重复使用相同的代码，可以将一些通用的功能打包成库文件。这些库文件可以在程序运行时被加载，允许程序员共享这些代码。
   • Unix 系统的需求：在 Unix 和 Linux 系统中，由于程序的数量庞大且相互依赖，动态链接变得尤为重要。.so 文件作为动态链接库，能够在程序运行时加载，提供了更好的灵活性和资源共享。
2. 优点：
   • 共享性：多个程序可以共享同一个 .so 文件，从而避免了代码的重复存储，减小了程序的体积。
   • 更新方便：如果 .so 文件中的代码需要更新，只需替换文件而不必重新编译依赖该库的所有程序。
   • 运行时加载：与静态链接库相比，动态链接库在程序运行时加载，而不是在编译时。这使得程序更加灵活，允许动态加载和卸载库。
3. 文件格式：
   • ELF格式：在 Linux 系统中，通常使用ELF（Executable and Linkable Format）格式来存储共享对象文件。ELF是一种通用的二进制文件格式，支持可执行文件、目标文件和共享对象文件。
   • 函数导出：.so 文件中包含了可执行代码、数据和符号表等信息。函数和变量可以被导出，以供其他程序调用。

总体而言，共享对象文件提供了一种有效的方式，使得程序在运行时能够动态链接并共享代码，从而提高了代码的重用性、灵活性，并简化了软件的维护和更新。

2. 反编译

有一些专门用于反编译的工具，如 IDA Pro、Ghidra、Radare2等，这些工具通常提供了图形用户界面（GUI）和一些高级功能，使得分析和理解二进制文件更容易。

IDA Pro 反编译实现（Windows 版）：

• 点击 链接 | 访问密码：9lf9 或 链接 下载安装包并解压缩，双击 ida64.exe：

• 选择一个 .so 文件拖入 IDA 空白区并点击 OK：

• 等待一段时间后，就能看到 .so 文件所对应的汇编代码了：

组件含义：

1. Function name：各函数的名称，双击即可定位到对应函数的汇编代码；
2. IDA View-A：显示汇编代码；
3. Hex View-1：显示机器码（16 进制格式）。

• 左侧 Function name 中任意双击一个，再在右侧按下 F5 键即可显示 C/C++ 源代码：

• 退出（默认即可）：

Reference

【反编译系列】四、反编译so文件（IDA_Pro）