Android安卓破解之逆向分析SO常用的IDA分析技巧

最新推荐文章于 2023-11-13 19:52:39 发布
最新推荐文章于 2023-11-13 19:52:39 发布
阅读量6.4k 收藏 7
点赞数 1
分类专栏: c/c++

1、结构体的创建及导入,结构体指针等。

以JniNativeInterface, DexHeader为例。

解析Dex的函数如下:

F5后如下:

File->load file->parser c header file,导入Dex.h

上图中a1,右键转成结构体,选择dexheader,效果如下:

由于doCommandNative是thumb的函数,所以在0x9fa53cfc, 按alt+g,改为1

按 c, 把数据转为代码

2、函数指针时的参数个数调整,不定参数等。

以__android_log_print为例,选中该函数。

Edit->operand type-> set operand type,修改参数如下:

int (__cdecl *)(int, char *, char *, char *, int *, int *),F5刷新后,效果如下:

 

 

3、thumb/arm模式的转换

快捷键ALT +G,其中0x01是THUMB,0x00是ARM模式。一般4个字节ARM模式,两个字节为THUMB模式,如:

 

4、函数被误认为chunk,导致调用者函数多个入口。

以Java_by_Ericky_crackme01_JNI_EatRice为例,可以看到有两个入口。

来到第一个入口的结束位置为BX跳转指令, 应该让他跳转到第二个入口出,才正确。

所有首先要remove function tail,

选中,结尾处,然后edit->functions->remove function tail,效果:

然后再将跳转指令BL,修改为Call,edit->others->force bl call,效果

5、C++RTTI,类名识别。

来的 JNI_OnLoad处

sub_A558为构造函数。

可以得在该函数名为9ArtLoader,

 

6、创建函数,设定函数结尾地址。

F5,效果如下:

解决办法,按P,再F5。如果P没有效果,则可以选中后再按P。

7、Elf的修复,内存dump该so及其以来文件,然后修改dump出来的基址,File-->LoadFile-->binary file。

dump命令为:

dd if=/proc/1935/mem of=/sdcard/alimsc4 skip=1578049536 ibs=1 count=3993600

8、数据复制、patch。

选中数据,然后edit->export data,即可

9、脚本,idc,IDAPython

http://magiclantern.wikia.com/wiki/IDAPython/intro

http://drops.wooyun.org/tips/11849

http://drops.wooyun.org/tips/12060

 

10、lsof查看被删除的文件,cat从内存中得到被删除的文件

root@android:/ # lsof |busybox grep com.sxiaoao.car3d3

system_se 523 system 298 /data/app/com.sxiaoao.car3d3-2.apk

com.sxiao 10370 u0_a65 44 /data/data/com.sxiaoao.car3d3/files/app_sdk103700_.jar (deleted)

com.sxiao 10370 u0_a65 48 /data/app/com.sxiaoao.car3d3-2.apk

com.sxiao 10370 u0_a65 49 /data/app/com.sxiaoao.car3d3-2.apk

 

10370是进程号 44是打开文件的fd 文件fd映射在/prop/pid/fd里面

用cat命令把文件拷贝出来

1|root@android:/ # cat /proc/10370/fd/44 > /data/local/tmp/test.jar

 

11、arm指令模拟器

 

12、为什么不能F5, 不能全信F5

http://blog.csdn.net/asmcvc/article/details/51026030

关于IDA使用的几个技巧(收集)

1.IDA反编译生成c代码时,有时会出现sp-analysis failed错误。这一般是由于IDA分析某个外部函数call时出现了堆栈指针调整错误。可以先设置菜单option->General->Disassembly选中stack pointer.然后逐行看看哪些调用前后堆栈出现了偏差。
2.IDA可以通过定义struct/enum来增强生成C代码的可读性。但有时候在分析一个程序时定义的结构在另一个文件中也可能有用。这时怎样处理呢。答案是先导出,再导入。
结构体的导出可参见http://bbs.pediy.com/showthread.php?t=99931
导入比较简单,通过“菜单Load file/Parse C header file”直接导入头文件。导入成功后,在Structures里就可以insert,然后Add standard structure中去查找了。导入之后在local types可见,而后全选右键同步即可。
结构体导出的代码保存在这里,便于查阅。

 

#include "idc.idc"
static Save2HStart(ofile)
{
    writestr(ofile,"/***************************************************************************************\n");
    writestr(ofile,"本程序用来导出结构体.并且暂时支持BYTE,WORD,DWORD和结构体。其他的类型被转换成BYTE数组.\n");    
    writestr(ofile,"如需支持其他的数据类型请自己在函数Save2HAddItem内加入.\n");
    writestr(ofile,"                                                        Author   GUANRI\n");
    writestr(ofile,"                                                        2009年11月8日\n");    
    writestr(ofile,"****************************************************************************************/\n");
  writestr(ofile,"#include \"stdafx.h\"\n");
  writestr(ofile,"#include \"windows.h\"\n");
  writestr(ofile,"#ifndef _WRITE_BY_GRUANRI_\n");
  writestr(ofile,"#define _WRITE_BY_GRUANRI_\n");
}
static Save2HEnd(ofile)
{
    writestr(ofile,"#endif");
}
static Save2HAddItem(ofile,id,add)
{
    auto type,itemsize,MemName;
    type = GetMemberFlag(id,add) & DT_TYPE;
              if ( type == FF_BYTE     ) 
                  {
                  type = "BYTE";
                  itemsize=GetMemberSize(id,add);
                  }
                    else if ( type == FF_WORD     ) 
                    {
                        type = "WORD";
                        itemsize=GetMemberSize(id,add)/2;
                    }
                    else if ( type == FF_DWRD     ) 
                    {
                        type = "DWORD";
                        itemsize=GetMemberSize(id,add)/4;
                    }
                    else if ( type == FF_DWRD     ) 
                    {
                        type = "DWORD";
                        itemsize=GetMemberSize(id,add)/4;
                    }
                    else if ( type == FF_STRU     ) 
                    {
                        type = GetStrucName(GetMemberStrId(id,add));
                        itemsize=GetMemberSize(id,add)/GetStrucSize(GetMemberStrId(id,add));
                    }
                    else 
                        {
                          type = "BYTE";
                      itemsize=GetMemberSize(id,add);
                        }
    MemName=GetMemberName(id,add);
    if(MemName=="")
        {
            return;
        }                        
    writestr(ofile,"                  "+type+"   "+MemName);
    if(itemsize!=1)
    {
       writestr(ofile,"["+ltoa(itemsize,10)+"];\n");
    }
    else
    {
        writestr(ofile,";\n");
    }
}
static Save2HAddItems(ofile,id)
{
    auto add,MemName;
    for ( add= 0;(add!=GetStrucSize(id))&&(add!=-1);add=GetStrucNextOff(id,add) ) 
    {
        MemName=GetMemberName(id,add);

      if (strstr(MemName,"::")==-1) 
          {
            Save2HAddItem(ofile,id,add);
          } 
          else
          {
              return;
          }

          
    }
}
static Save2HStruct(ofile,id)
{
    auto structname;
    structname=GetStrucName(id);
    writestr(ofile,"/***************************************************************************************\n");
    writestr(ofile,"结构体名称:"+GetStrucName(id)+"\n");
    writestr(ofile,"固定  注释:"+GetStrucComment(id,0)+"\n");
    writestr(ofile,"重复  注释:"+GetStrucComment(id,1)+"\n");
    writestr(ofile,"结构体大小:"+ltoa(GetStrucSize(id),10)+"\n");
    writestr(ofile,"成员  个数:"+ltoa(GetMemberQty(id),10)+"\n");
    writestr(ofile,"****************************************************************************************/\n");
    writestr(ofile,"typedef struct \n");
    writestr(ofile,"                {\n");
    Save2HAddItems(ofile,id);
    writestr(ofile,"                }"+structname+",*p"+structname+";\n");
}
static main()
{
    auto file,filename,idx,id,structname;
    filename=AskFile(1,"*.h","保存头文件名");
    if(filename==0)
        {
            Warning("请输入一个文件名,谢谢!!!!!!");
      return;
        }
    file=fopen(filename,"w+");
    Message("写入中"+filename+"\n");
    Save2HStart(file);

    for ( idx=GetFirstStrucIdx(); idx != -1; idx=GetNextStrucIdx(idx) ) 
  {
      id=GetStrucId(idx);
       structname=GetStrucName(id);

      if(strstr(structname,"::")==-1)  //这个是过滤结构名带::的
          {
                Save2HStruct(file,id);
                Message("结构名:  "+structname+"\n");
            }
  }
    Save2HEnd(file);
    fclose(file);
}

http://www.cppblog.com/huyutian/articles/102223.html

 

 

 

 

 

yunshouhu
关注
专栏目录
使用IDA静态分析so文件
武天旭的博客
10-03 2200
一、使用IDA静态分析so文件 注意:IDA不支持修改代码,修改代码需要其他工具支持 使用NDK开发能够编译c/c++程序,最终生成so文件。而so文件是一个二进制文件,我们是无法直接分析so文件的,所以这里需要用到一个反编译工具IDA Pro。IDA Pro能够对so文件进行反汇编,从而将二进制代码转化为汇编语言,利用IDA Pro神奇的F5功能还能将汇编语言反编译成c/c++程序。
适用于所有Android手机的5个最佳Android手机解锁工具
最新发布
Geeker55的博客
08-20 1483
在当今互联互通的世界中,我们移动设备的安全至关重要。但是,由于忘记密码、屏幕破裂或其他不可预见的问题,用户可能会发现自己被锁定在 Android 设备之外。为了满足这一需求,出现了各种 Android 解锁工具,提供创新的解决方案来帮助用户重新获得对其设备的访问权限。本文将介绍Android解锁工具的主题,重点介绍适用于所有Android手机的一些最佳选项。Android 解锁工具是一种软件应用程序,旨在绕过 Android 设备的锁定屏幕,允许用户在无法通过传统方法访问其设备时重新获得访问权限。
IDA动态调试逆向分析Android so
哆啦安全
01-01 963
使用IDA进行动态调试Android so,有两种方式进行调试,如下所示: (1).一种是调试启动方式,调试启动可以调试jni_onload ,init_array处的代码,可以在较早的时机得到调试权限,一般反调试会在较早的时候进行启动。 (2).另一种则是附加调试,附加调试是在App已经运行起来的时候进行附加调试,这两种方式与Windows上的调试启动和附加调试概念很相似。 实践环境:Windows 10+IDA Pro 7.0 + Nexus5(Android 7.1.2) ...
IDA静态分析so文件(一)
傅恒的博客
05-12 5810
本文是记录自己学习IDA的一些总结与归纳,并将其体现成具体功能,便于复习与交流,有不对之处望大家包容并指出,欢迎大家留言收藏 本篇是IDA静态分析的第一篇, 本文讲解非常简单的静态分析so包 , 以便于熟悉IDA 环境 IDA pro 7.0 so包是32位 附加GitHub地址下载apk 如果出现其他问题可以参考IDA常见问题 开始 通过分析apk, 我们知道, java层调用了那些本地函数 , 实际运用也是如果 , 我们需要先分析java层代码 , 本文我们就是找到本地函数怎么对比字符串
ida android 分析 so,[原创]IDA静态分析so文件
weixin_42510201的博客
05-26 670
前言这是getText的函数原型。分析“getText”函数1.找到getText这个函数,如下图所示。2.双击打开该函数,开始分析汇编指令,箭头所指位置是指令的开始处,如下图所示。.text:00001148 STMFD SP!,{R3-R5,LR}压栈操作,把R3-R5,LR分别压到栈顶。.text:0000114C MOV R5, R1把R1赋值给R5。.text:00001150...
android逆向分析so,Android逆向 之 IDA静态分析so(一)
weixin_31070201的博客
05-25 1021
概述本文使用IDAandroid调用so进行静态分析,以此实验掌握so层的一些分析技巧。前置条件ARM 汇编 (虚拟机为armebi-v7a)IDA的基本使用JNI开发基础Android中调用so# direct methods# 加载so.method static constructor ()V.locals 1.prologue.line 26const-string v0, "veri...
android逆向分析so,Android逆向——so反编译分析由浅入深(回帖奖励)
weixin_39870413的博客
05-25 1565
如果可以,请自己编写so文件,然后进行反编译自行学习。这样的进步是最快的。这篇分析仅此一份,心血付出。0x00 前言说明1.之前学习Android逆向的时候跑的太快,很多东西没有咀嚼直接吞咽,虽然看起来有一定成果,但是很快就进入瓶颈状态。所以逆向这东西还是要慢慢静下心来搞。2.网上的分析文章大多都是拿来直接F5,虽然是快速解决问题,但是却不利于学习。依赖于机器终归不是一种好的学习方式,或许在工作...
IDA7.0,用于逆向分析so
03-29
IDA7.0,用于逆向分析so
android动态逆向,Android逆向之动态分析so篇
weixin_34289439的博客
05-25 766
斗哥这期将给大家带来Android逆向的动态分析,主要简述了Android动态分析环境配置与IDA调试so文件。学习Android逆向动态分析前,一定要有基础环境支持,比如sdk、jdk等,所以在动态分析前先要进行一波基础配置。0X01 基础环境配置1、配置adb命令:adb是android sdk里的一个工具,用这个工具可以直接操作管理android模拟器或者真实的andriod设备。主要功能有...
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
【动态分析分析so文件必备】 2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析和修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于IDA多用于分析,该软件...
安卓逆向笔记-IDA动态调试so
HeartCircle的博客
01-12 4204
年底了,在进行技术梳理,发现对于动态调试so方面还不太会,每年都说要学习,结果两年了还没学会,近期也是进行了补课,做一个笔记记录一下。
Android之使用IDA Pro静态分析so文件
码莎拉蒂
08-11 9176
安卓应用程序的开发语言是java,但是由于java层的代码很容易被反编译,而反编译c/c++程序的难度比较大,所以现在很多安卓应用程序的核心部分都使用NDK进行开发。关于NDK的开发知识点,请看这篇博客:Android之NDK开发。         关于NDK环境搭建的知识点,请看这篇博客:Android NDK开发篇(一):新版NDK环境搭建(免Cygwin,超级快)      
安卓逆向-C语言简单普及 | IDA静态调试
Samsam的博客
03-10 412
C语言简单普及 //整型 int a = 100; //字符串 char *s = "yuanrenxue.com"; //浮点型 float = "3.14"; //双精度浮点型 double = "3.141592633764862"; //指针 int *a_add = &a; //字符串常量 不能修改 const char *ss = "hello"; //数组 int num[5]; char name[5]; //1个字节(Byte) = 8位(Bit)
IDA pro7.5+使用教程大全(助力安卓so层逆向篇)
云霄IT的博客
07-28 3400
【代码】IDA pro7.5+使用教程大全(助力安卓so层逆向篇)
【反编译系列】一、反编译 .so 文件(IDA Pro)
热门推荐
leoatliang的博客
11-13 1万+
【反编译系列】一、反编译 .so 文件(IDA Pro)
IDAType Libraries
zhangmiaoping23的专栏
04-22 760
有时候,我们IDA直接附加程序,然后采用内存快照保存。由于是直接附加,而不是加载SO后,在附加。IDA是无法识别出Type Libraries的。此时需要View->Open SubViews->Type Libraries窗口 ,快捷键Shift+F11。 插入相应的。 例如: IDA无法重命名 FILE *j__fopen(const char *, const char ...
ida 中segment中的extern是什么
HWP
03-29 1481
紫色部分: extern不是真正的段它是IDA创建的一个伪段,用于表示其他模块中地址未知的符号; GOT通常包含指向这些符号的指针在调试过程中,它可能会被.bss所覆盖,或者被操作系统加载程序清除堆栈区域,这就是为什么在那里会看到零。 ...
总结IDA调试app so的三种方法
zzwlpx的博客
06-01 9991
        本文总结网上一些做法,结合自己的经验,提供不反编、修改、重新编译apk而调试app的方法。一、ida动态启动调试(1)打开ida,直接将apk拖到ida中,选择class.dex,如下图:注意:也可以将apk解压之后,直接将class.dex拖拽至ida。(2)双击打开class.dex后,设置debug选项(3)点击set specific option,设定包名及入口方法注意:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值