Android逆向之动态调试总结

最新推荐文章于 2023-04-11 16:05:35 发布
最新推荐文章于 2023-04-11 16:05:35 发布
阅读量3k 收藏 1
点赞数
分类专栏: android 逆向

转:http://www.52pojie.cn/thread-293648-1-1.html


一、在SO中关键函数上下断点


刚学逆向调试时。大多都满足于在SO中某关键函数上下断点。然后通过操作应用程序,去触发这个断点,然后进行调试

详细的步骤可以参见非虫大大的《Android软件安全与逆向分析》

简单说:在libsyclover.so文件中有一个函数jnicall1。每次单击按钮的时候,便会调用此函数。

1.静态载入此so文件,找到函数的偏移地址为:0x132C

 
2.执行android_server

root@android:/data/local/tmp # ./android_server
./android_server
IDA Android 32-bit remote debug server(ST) v1.18. Hex-Rays (c) 2004-2014
Listening on port #23946...
=========================================================
[1] Accepting connection from 127.0.0.1...


3.端口转发

adb forward tcp:23946 tcp:23946

4.运行程序



5.IDA附加

 
然后会弹出
 
点击OK之后,在弹出的列表框中选择需要附加的进程即可

6.下断点


附加完成之后,会停在libc.so这个模块中。此时按下Ctrl + S,弹出模块列表框,搜索so文件名。
 
记录下基地址:0×76072000 (RX权限)
和静态分析时得到的偏移地址0x132C相加得到0x7607332C
G跳转到此位置
 
F2下好断点!

7.触发断点


下好断点,便F9执行,此时状态是runing
此时,去应用中单击按钮,程序便会断在刚刚下好的断点处~
 
ok~ 这种调试方法局限性很大,适合于比较初级的调试。这种调试手法在现在已经满足不了需求了。


二、在JNI_OnLoad函数上下断点

JNI_OnLoad函数大概功能就是在程序加载so的时候,会执行JNI_OnLoad函数,做一系列的准备工作。
很多时候,程序猿们会将一些重要信息放在此函数中,而不是通过某种事件来重复触发。包括说将反调试函数放置在此函数中。因此,调试手段发生了改变,上述调试方法基本上被淘汰。
1.静态分析,找到JNI_OnLoad函数的偏移:0×1504

 

2.执行android_server

root@android:/data/local/tmp # ./android_server
./android_server
IDA Android 32-bit remote debug server(ST) v1.18. Hex-Rays (c) 2004-2014
Listening on port #23946...
=========================================================
[1] Accepting connection from 127.0.0.1...

3.端口转发

adb forward tcp:23946 tcp:23946

4.以调试模式启动程序

adb shell am start -D -n com.example.mytestcm/.MainActivity
此时,手机界面会出现Waiting For Debugger页面

5.打开ddms或者Eclipse (必要,为了使用jdb命令),获取应用程序的端口号

6.IDA附加

7.设置调试选项

Debugger — Debugger Options
 

8.F9运行程序

IDA中,F9运行程序,此时是runing状态。
在命令行中执行:jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700其中port=8700是从ddms中看到的。
 
此时程序会断下来
 

9.下断点

Ctrl + S 然后搜索到so文件名
 
记录下基地址是:0×76118000
加上JNI_OnLoad函数的偏移地址0×1504为0×76119504
G跳转到0×76119504,下断点
 

A.触发断点

下好断点之后,直接F9运行吧,就能断在JNI_OnLoad函数处~
 

注释:其实JNI_OnLoad函数,直接在附加后,下断就可以了。


当这种调试手法出现之后,将特殊函数,或者反调试函数放在JNI_OnLoad中也不是那么的安全了。此时,程序猿们通过分析系统对SO文件的加载链接过程发现,JNI_OnLoad函数并不是最开始执行的。在JNI_OnLoad函数执行之前,还会执行init段和init_array中的一系列函数。
因此,现在的调试方法,都是将断点下在init_array中~
至于下断点的方法,可以类比于在JNI_OnLoad中下断点的方法,在init_array的函数中下断点。还有一种方法便是通过在linker模块中,通过对其中函数下断点,然后也能单步到init_array中下面便详细介绍下如何给任意系统函数下断点

三、给任意系统函数下断点

1.需要准备的有:
与你调试环境一致的系统源码,这个也可以在http://androidxref.com/网站上在线查阅。
root之后的手机,方便将系统的一些so文件dump至本地,静态获取到系统函数的偏移地址

2.流程
执行android_server
端口转发 adb forward tcp:23946 tcp:23946
调试模式启动程序 adb shell am start -D -n 包名/类名
IDA附加
静态找到目标函数对应所在模块的偏移地址
Ctrl+S找到对应模块的基地址,两个地址相加得到最终地址
G跳转至地址,然后下断
F9运行
执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
断下,进行调试

四、在dvmDexFileOpenPartial函数下断点,dump出明文dex


发展至今,从去年到现在,apk的加解密发展非常迅速。国内出现了很多针对apk的加壳保护方案。主要也体现在对dex的保护和对so的保护!
针对dex的保护,很长一段时间,都能通过对dvmDexFileOpenPartial函数下断点,从而dump出明文dex文件。
以这次alictf的第三题为例子,展示下如何对dvmDexFileOpenPartial函数下断点!
其他步骤都是一样的,这儿主要说下如何找到dvmDexFileOpenPartial函数位置
1.查看源码


dvmDexFileOpenPartial函数在rewriteDex这个函数中被调用。
 
可以看到关键字符串信息是:Unable to create DexFile
此时,从手机的/system/lib目录下得到libdvm.so

2. 载入IDA,搜索字符串:Unable to create DexFile


 
得到偏移地址是:0x0005AE8A

3.下断点


搜索模块libdvm.so
 
基地址是0×41492000
加上偏移地址为0x414ECE8A
G跳转至此位置,下好断点,即可

4.dump明文dex文件


下好断点之后,F9运行,执行jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
程序断下
 
此时,看到寄存器窗口中的值为:
 
R0保存dex的起始地址,R1便是dex的长度
 
直接dump即可!

5.后续


dump出来的dex就可以进行反编。
效果如下:
 


五、写在最后


随着现在技术的发展,对apk的保护是越来越好!大大增加了逆向分析人员的分析难度。同时,在整个攻防的过程中,对攻防两端的人都带来了非常棒体验。双方都取得了长足的进步!
也促使了整个加固方向水平的提升!
其中,动态调试手法在整个过程中是必不可少的。


双刃剑客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android IP 和端口 重定向
11-20
实现android中IP和端口的重定向,输入原始IP,端口和目标IP,端口,实现重定向功能
安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试
zhangmiaoping23的专栏
04-18 943
转:http://blog.csdn.net/pengyan0812/article/details/43991983 在上篇文章中,我们介绍了如何利用IDA Pro来动态调试so文件。在移动安全领域有攻就有防,为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。 其中最常见的就是在so文件中检测TracerPid值,详情请见这篇博客:
android:认识*.so里的JNI_OnLoad()函数
zhouyongyang621的专栏
03-26 2619
20.认识*.so里的JNI_OnLoad()函数当Android的 VM(Virtual Machine)执行到C组件(即*so文件)里的System.loadLibrary()函数时,首先会去执行C组件里的JNI_OnLoad()函数。它的用途有二:1.       告诉VM此C组件使用那一个JNI版本。如果你的*.so文件没有提供JNI_OnLoad()函数,VM会默认该*.so檔是
Android so文件的.init、.init_array上和JNI_OnLoad处下断点
luohai859的专栏
01-19 8871
移动端Android安全的发展,催生了各种Android加固的诞生,基于ELF文件的特性,很多的加固厂商在进行Android逆向的对抗的时,都会在Android的so文件中进行动态的对抗,对抗的点一般在so文件的.init段和JNI_OnLoad处。因此,我们在逆向分析各种厂商的加固so时,需要在so文件的.init段和JNI_OnLoad处下断点进行分析,过掉这些加固的so对抗。
Android逆向动态调试技术
01-19
深入介绍Android逆向原理和工具,实战实例
Android逆向动态调试
05-19
Android逆向动态调试思维导图,便捷整理思路,反编译、AS配置、以调试模式启动、IDEA调试命令
Android动态调试逆向反编译smali
01-08
Android动态调试逆向反编译smaliAndroid动态调试逆向反编译smaliAndroid动态调试逆向反编译smali
AndroidSo动态调试.zip
06-08
Android So动态调试大法, 此为blog里的例子,包含图片、pdf 以及apk程序,为逆向初学者提供很大的帮助!!!
Android逆向工具
05-19
Android逆向工具基础思维导图,便捷整理思路,环境配置、Android开发环境、安卓模拟器、一台调试手机、调试方法
FwdPortForwardingApp:适用于Android的端口转发应用
02-03
FWD:端口转发应用 Fwd:端口转发应用程序可让您使用Android设备的网络接口通过栓系连接转发端口,非常适合托管服务器或打开NAT类型进行游戏。 Fwd旨在促进从Android设备轻松便捷地进行端口转发。 对于对端口转发感兴趣的网络爱好者和专业人士来说,它是必不可少的。 将手机用作热点(网络共享)时,此应用程序可让您将Android设备用作网络服务器,媒体服务器或游戏服务器(仅举几例)的网关。 产品特点 规则 创建和删除端口转发规则。 规约 通过TCP,UDP或同时通过两者转发端口。 灵活 从设备上的每个可用网络适配器转发。 方便使用的 轻松删除所有现有规则,然后重新开始。 支持 通过功能齐全的支持页面获取帮助。 额外的信息 在上快速了解该应用程序 下载 捐 Fwd:端口转发应用程序是完全免费和开源的。 如果您认为该应用程序有用,请考虑捐赠以支持持续的开发。 您的捐款将帮助我们改善应用程序并继续提供支持:) 为了支持发展,请 反馈与支持 一如既往,评论和批评比任何时候都受到鼓励,我们喜欢听到大家的反馈! 如果您需要任何帮助,请随时访问我们的或通过与我们联系。
【APP逆向动态调试so库
ssrf
11-25 1227
文章目录一、IDA server安装1、把本地IDA server文件推送进手机目录2、进入手机shell3、修改权限运行server二、了解反调试策略三、反调试处理方法1、给app加上可调式权限2、检查flags中是否有应许debug项3、以调试模式启动APP APP此时会挂住4、以调试模式启动APP APP此时会挂住 一、IDA server安装 1、把本地IDA server文件推送进手机目录 adb push android_server(cpu型号要对应 模拟器是x86) /data/loc
安卓逆向_21 --- Java层和so层的反调试( IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1224
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
IDA动态调试逆向分析Android so
哆啦安全
01-01 861
使用IDA进行动态调试Android so,有两种方式进行调试,如下所示: (1).一种是调试启动方式,调试启动可以调试jni_onload ,init_array处的代码,可以在较早的时机得到调试权限,一般反调试会在较早的时候进行启动。 (2).另一种则是附加调试,附加调试是在App已经运行起来的时候进行附加调试,这两种方式与Windows上的调试启动和附加调试概念很相似。 实践环境:Windows 10+IDA Pro 7.0 + Nexus5(Android 7.1.2) ...
某游戏社区App | So层逆向分析
TheWeiJun的博客
04-11 2315
加载so、通过native关键字定义了需要调用的方法getSign,也就是说,它这里调用的是so层的加密算法,so是什么?到这里,我们可以肯定,sign的加密算法就是md5加密;分析上面authorization的加密逻辑,我们需要确定return返回值中包含的多个参数的初始值即可完成对该参数的算法还原,接下来我们一起进入hook调试环节分析一下该算法吧。此刻我们已经知道了str、str2的生成规律,我们只需要还原该接口请求就能实现str、str2的参数生成,接下来我们需要对sign参数进行解密分析。
安卓逆向_6 --- JNI、NDK开发、jni静态注册、jni_onload动态注册
freeking101的博客
03-05 2330
JNI 全称是Java Native Interface,为Java本地接口,并提供了若干的 API 连接Java层与Native层。JNI 相当于一个桥梁,实现了 Java 和 C++ 之间互相访问调用。 在 Android 进行 JNI 开发时,可能会遇到 couldn't find "xxx.so" 问题,或者内存泄漏问题,或者JNI 底层崩溃问题。Java 层如何调用 Native 方法?Java 方法的参数如何传递给 Native层?而 Native 层又如何反射调用 Java 方法
Android adb forward转发TCP端口连接数据
热门推荐
Zhang Phil
05-08 3万+
Android adb的一个命令 : adb forward,该命令转发PC电脑上的端口数据到Android设备的一个端口。 adb forward tcp:18000 tcp:19000 上面的命令,即把PC电脑端TCP端口18000的数据转发到与电脑通过adb连接的Android设备的TCP端口19000上。换言之,假设现在PC端在端口18000绑定,并在该端口读写数据,将会被转发到An...
android adb 端口转发
深度技术安全
12-05 2万+
之前,以为android模拟器只能作为client来对待,不能创建socket server来接收数据,原因是用tcpview看了一下,创建的监听端口,并没有显示, 所以,后来,就打算用vc直接开发一个daemon程序来接收请求,同时转发请求。 当apkserver完成后,发现adb命令支持端口转发功能,这才醒悟过来,白忙活了,不过,自己搞一个daemon还是可以的。 下面就是官
UDP端口转发
Android菜鸟的专栏
02-21 3549
这种端口转发的机制比较简单,如果有别的端口或不同的协议则又要进行对应的设置,还有一个更简单的办法,买一个 “360随身wifi” ,它可以把电脑的网络通过一个wifi热点分享出去,这样手机连接这个热点来上网,然后电脑上使用Wireshark对 “360随身wifi” 分享的那个网络接口进行抓包即可,这样的话手机上所有的网络请求,不管是什么端口、什么协议统统都可以抓。的代理,在一款Android7.1的手机Wifi设置上设置代理,在设置界面中有这句话:“浏览器会使用HTTP代理,但其他应用可能不会使用。
小七新Android逆向
最新发布
12-28
1. 【小七新Android逆向脱壳课程】脱壳7.Android逆向神器jeb配置介绍与操作,实战演示动态调试app 这门课程主要介绍了Android逆向神器jeb的配置和操作,以及如何使用它进行动态调试app。通过这门课程,你可以学习到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值