案例:川观新闻

.text段是可以用ida f5反编译的,但是seg段不能,所以看到这个就说明so是加固了的,因为不能反编译关键函数

so加载前和加载后的视图是不一样的,加载前是链接视图,加载后是执行视图,链接视图是以节(section)为单位,执行视图是以段(segment)为单位。链接视图就是在链接时用到的视图,而执行视图则是在执行时用到的视图。而我们从内存中dump出来的so是执行视图,没有节头表,ida是识别不了的,需要进行修复。

用sofixer工具可以对dump下来的so进行修复