首页
论坛
课程
招聘
[原创]-------------IDA调试 android so文件的10个技巧
2017-10-17 20:02 24428

[原创]-------------IDA调试 android so文件的10个技巧

2017-10-17 20:02
24428
在android调试过程中,经常会遇到一些小问题以及解决的方法分享给大家,抛砖引玉。。。
        

1、使用模拟器调试可能经常遇到异常,然后就进行不下去了,最好换成手机。


2、即使用手机时,也可能会遇到异常造成单步或RUN卡死在一条指令上的问题。这样可以手动的执行这条指令,然后将PC指针设置成为下一条指令位置,开始执行。


3、IDA多线程调试方法

      在IDA中如果已经启动了多个线程,并且设置在多个线程设置断点后,此时单步执行时,经常会线程乱跳,造成调试非常不方便。可以采用的方法是比如当前从主线程跳到某个其他线程,在主线程下一条指令设置断点,然后在线程窗口中将主线程supend,这时就不会再跳回到主线程了。如果想回到主线程,RUN后就会断点之前设置的断点。

4、IDA调试界面配置保存

      配置好的调试界面,可以通过如下方法保存起来:点击windows—>save destop..,下次启动后直接点击windows—>load destop..即可。


5、arm指令集分为arm指令和thumb指令等,在IDA中对于一个函数或地址判断是否是ARM还是thrumb看调用的地址是否为奇数,如果为奇数则为thrumb指令,如果是4字节对齐则为ARM指令。

将代码设置为thumb指令方法如下,按alt+G,然后让value=1 为thumb指令,= 0为arm指令。




6、出现异常,经常手动bypass, 可以采用下面方法,一劳永逸:

打开IDA安装目录\cfg\exceptions.cfg,并在liunux条目下面按照如下方式修改:


7、如何定位到执行so文件的init或init_array函数

1)从手机或虚拟机中pull出来linker

2)搜索字符串” [ Calling %s @ %p for '%s' ]”,见下图:



3)查找引用此字符串的地址:


4)到sub_271C处,见下图 :


8 如何定位到jni_load

1)直接在SO文件中查找jni_load设置断点的弊端:

     a) 如果SO文件被处理了,可能是找不到的

     b) 如果对应jni_onload被加密了,直接设置断点,会引起解密失败

2) 从手机或虚拟机中pull出来libdvm.so

3) 查找函数dvmLoadNativeCode

见下图:



往下看,其中调用dlopen为加载so,返回时so已经加载,同时已经执行了init等初始化函数。 


再往下看:


9 如何定位到RegisterNatives函数

1)从手机或虚拟机中pull出来libdvm.so

2)搜索字符串“Registering JNI native methods for class %s”见下图


3)查看引用“Registering JNI native methods for class %s”地址


4)到sub_4D424函数看看如下图:


sub_4D424即为RegisterNatives函数地址 

10 如何定位加载到内存中的dex/jar等的地址

方法一:直接在IDA中按ctrl+S 从已加载中查找,但是可能找不到(对应动态加载)。

方法二:直接在加载dex/jar的返回结构体中获取

1) 当dex/jar加载时调用的libdvm.so中的函数openDexFileNative。此函数源码(android4.4)见下图:


对于dex文件调用dvmRawDexFileOpen(sourceName, outputName, &pRawDexFile, false),并将加载的信息放入到pRawDexFile中。

对于jar文件调用dvmJarFileOpen(sourceName, outputName, &pJarFile, false),并将加载后的信息放入pJarFile中。

2) 定位openDexFileNative :搜索字符串“Refusing to reopen boot DEX '%s'”查看引用地址就可以定位,看下图:



sub_64798即为函数openDexFileNative地址。

3)对于apk/jar等类型 在下图位置下断点。其中堆栈sp的内容对应的就是JarFile* pJarFile






通过上面的结构,获取DEX对应公式如下:Dex addr = [[[sp]+0x28]+4]

4)对于dex类型文件断在如下位置:



通过上面的结构,获取DEX对应公式如下:Dex addr = [[[sp]+0x4]+4](此方面暂时没找到dex测试,没有验证哦,不过大体方法类似)。

共同成长,欢迎加群QQ:211730239




看雪2022 KCTF 秋季赛 防守篇规则,征题截止日期11月12日!(iPhone 14等你拿!)

收藏
点赞0
打赏
分享
最新回复 (54)
雪    币: 1774
活跃值: 活跃值 (3735)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
爱吃菠菜 活跃值 2 2017-10-17 20:14
2
0
雪    币: 17
活跃值: 活跃值 (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
川美 活跃值 2017-10-17 20:56
3
0
多来点这样的菜,不错
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
weixinx 活跃值 2017-10-17 22:30
4
0
很实用,回头分享下dex文件头,导入ida  调试起来更方便
雪    币: 3684
活跃值: 活跃值 (1151)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MaYil 活跃值 2017-10-17 22:59
5
0
不错,  感谢  分享
雪    币: 4687
活跃值: 活跃值 (213)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bjhrwzh 活跃值 2017-10-18 09:19
6
0
还不错,调试中比较常见的问题,mark
雪    币: 220
活跃值: 活跃值 (18)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
kingdog 活跃值 2017-10-18 09:59
7
0
非常实用
雪    币: 325
活跃值: 活跃值 (47)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2017-10-18 10:39
8
0
详细收藏
雪    币: 1
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
GeniusVczh 活跃值 2017-10-18 13:19
9
0
很详细,收藏了
雪    币: 62
活跃值: 活跃值 (230)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
uvbs 活跃值 2017-10-18 15:06
10
0
佩服楼主,  能学习  还能总结归纳
雪    币: 3362
活跃值: 活跃值 (1360)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
pxhb 活跃值 2 2017-10-18 15:11
11
0
收藏一份备用
雪    币: 6817
活跃值: 活跃值 (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
聖blue 活跃值 2017-10-18 21:45
12
0
不错!
雪    币: 109
活跃值: 活跃值 (32)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
liangafu 活跃值 2017-10-19 09:06
13
0
厉害!
雪    币: 948
活跃值: 活跃值 (635)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
seandong 活跃值 2017-10-19 15:05
14
0
厉害了
雪    币: 3359
活跃值: 活跃值 (1097)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
Umiade 活跃值 2017-10-20 09:00
15
0
感谢分享
雪    币: 3725
活跃值: 活跃值 (1308)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
梦野间 活跃值 4 2017-10-20 15:28
16
0
楼主你好,我有个问题
如果手机使用的是ART加载,没有libdvm,那么应该使用哪个下函数下断?
如果要换系统进行调试的话,应该是刷到哪个版本的系统才有dvm?
雪    币: 202
活跃值: 活跃值 (23)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
星星当空照 活跃值 2017-10-20 16:55
17
0
总结的好详细,mark
雪    币: 802
活跃值: 活跃值 (758)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
茅山小僧 活跃值 2017-10-23 09:39
18
0
不错!
雪    币: 306
活跃值: 活跃值 (476)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bambooeric 活跃值 2017-10-23 16:01
19
0
不错
雪    币: 261
活跃值: 活跃值 (479)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
lfyyy 活跃值 2017-10-24 09:44
20
0
雪    币: 11
活跃值: 活跃值 (80)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
华仔在吗 活跃值 2017-10-24 10:18
21
0
赞一个
雪    币: 19084
活跃值: 活跃值 (678)
能力值: ( LV15,RANK:936 )
在线值:
发帖
回帖
粉丝
oooAooo 活跃值 9 2017-10-24 13:43
22
0
梦野间 楼主你好,我有个问题 如果手机使用的是ART加载,没有libdvm,那么应该使用哪个下函数下断? 如果要换系统进行调试的话,应该是刷到哪个版本的系统才有dvm?
          对于art模式(以5.1源码为例)对应函数为:

                   





      在libart.so中查找函数 LoadNativeLibrary:、

                     

                    BLX   R7  就是调用 SO文件的jni_onload函数位置。
雪    币: 260
活跃值: 活跃值 (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yunshouhu 活跃值 2017-10-24 14:15
23
0
不错,    感谢分享,收藏了。
雪    币: 259
活跃值: 活跃值 (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
无所从来 活跃值 2017-10-24 18:52
24
0
m
雪    币: 119
活跃值: 活跃值 (1901)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
龙飞雪 活跃值 2017-10-25 15:52
25
0
不错啊,其实就是对照着源码来~
游客
登录 | 注册 方可回帖
返回