使用IDA从内存中dump指定的dex

最新推荐文章于 2025-04-03 23:05:41 发布
最新推荐文章于 2025-04-03 23:05:41 发布
阅读量1.4w 收藏 9
点赞数 1
分类专栏: Android逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXOOYC/article/details/51356342
版权

虽然自己编译了一套能够简单够脱壳的坏境,不过使用上总感觉比较重量级。

今天只想把APK中某个动态解密,加载的dex搞出来,用IDA轻快很多。


步骤1:

首先通过cat /proc/pid/maps查看目标dex文件所在的内存地址:



可以看到我们的起始地址是:5faa2000

                            结束地址是:5fb36000

后面的deleted表示dex文件加入内存中,就被删除了。


步骤2:

IDA调试上目标进程上,然后运行如下脚本,把这个内存区间的内容全部dump出来(没加固时,dex的内存默认是连续的):


  auto fp, begin, end, dexbyte;
  fp = fopen("D:\\dump.dex", "wb");
  begin = 0x5faa2000;
  end = 0x5fb36000;
  for ( dexbyte = begin; dexbyte < end; dexbyte ++ )
      fputc(Byte(dexbyte), fp);




dump出来得到是一个odex文件,通过下面的命令可以转成对应的smali文件:

java -jar baksmali.jar -x dump.odex -d .



IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 9045
最近研究SO文件调试和dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
使用IDA Pro进行脱壳
武天旭的博客
10-03 3178
APK加固的两种方式:一种是对源APK整体做一个加固,放到指定位置,运行的时候再解密动态加载;还有一种是对so进行加固,在so加载内存的时候进行解密释放。一个APK加固,外面肯定得套一个壳,这个壳必须是自定义的Application类,它需要做一些初始化操作,一般加固的APK壳的Application类都喜欢叫StubApplication。1、查看是否加固首先解压出classes.dex文件,使用dex2jar工具查看Java代码,发现只有一个Application类,所以猜测APK被加壳了。
Android动态方式破解apk终极篇(加固apk破解方式)
weixin_30656145的博客
03-02 4702
一、前言 今天总算迎来了破解系列的最后一篇文章了,之前的两篇文章分别为: 第一篇:如何使用Eclipse动态调试smali源码 第二篇:如何使用IDA动态调试SO文件 现在要说的就是最后一篇了,如何应对Android中一些加固apk安全防护,在之前的两篇破解文章中,我们可以看到一个是针对于Java层的破解,一个是针对于native层的破解,还没有涉及到apk的加固,那么今天就要来介绍一下...
【记录】IDAIDA7.6怎么查看内存分布情况(内存范围和读写性)
shandianchengzi的博客
10-04 2077
View-Toolbars-Segments
java内存溢出(OutOfMemoryError)————dump文件以及内存分析
最新发布
u011250186的博客
04-03 252
java内存溢出(OutOfMemoryError)————dump文件以及内存分析
Mac IDA动态调试Android应用dump dex
fly7632785的专栏
07-02 873
前言 由于本人使用的是Mac来做开发,并且最近要做逆向相关,苦于网上多数教程都是Win的,没办法只有到处搜集资料和自己踩坑,摸着石头过河。这里分享一下Mac来做的整个过程。目标,IDA动态调试,dump dex脱壳。 脱壳的话,目前两种方法,一种动态调试,一种xposed,当前为动态调试学习 环境: macOS 10.14.1 root过后的手机 htc 4.4.2 IDA 7.0 附送地址 IDA mac 高版本崩溃解决适配 mprop 设置手机所有应用为可调试 下载地址 精简方案 1、 copy
android逆向-通过IDA工具dump指定dex
傅恒的博客
11-14 2335
前提条件和运行环境一定要写清楚,不然会有很多坑,坑死人。 (1)IDA 是最新的7.x版本 (2) JDB 使用Java安装目录下的 (3)系统是win10 使用命令窗口时有很大的差别 (4)手机是4.4 以下系统 1.手机要有Root权限 2.复制IDA 安装目录下dbgsrv 文件里面的android_server文件到 手机内存储的 /data/local/tmp 目录下 3.控制台输...
通过dexdump来学习DEX文件格式
doon的专栏
06-16 1万+
一、dexdump简介dexdump是android提供的一个dex文件查看工具,在4.4之前的版本上,我们可以在dalvik的dexdump目录找到源码。这个工具简单而且全面。通过学习这个工具的源码,我们可以很快的对dex文件有一个全面的了解。 首先看下dexdump的命令行参数: dexdump: [-c] [-d] [-f] [-h] [-i] [-l layout] [-m] [-t
IDA附加调试apk程序,并修改内存,编写IDA脚本程序,把修改后的dex文件dump到本地
coc_k的博客
07-19 7725
IDA附加调试apk程序,并修改内存,编写IDA脚本程序,把修改后的dex文件dump到本地
Android内存数据读取与修改/内存代码注入/内存dump
热门推荐
犀牛划水
07-18 2万+
在Android的逆向时,对内存数据的操作主要有三种:内存数据读取与修改,内存代码注入,内存dump。之前对这三种操作的概念比较模糊,因此找了些资料整理如下,加深自己的理解。 修改数据 修改内存数据 修改内存数据需要在十六进制窗口中进行编辑,可先将反汇编窗口与十六进制窗口同步。如下图所示,在反汇编窗口中点击鼠标右键弹出菜单,选中”Synchroni
Android动态调试so之dump内存数据
六桥风月IT随笔
07-26 6795
1.配置环境 一台已root手机 IDA pro6.6 Android SDK 准备工作: 1.1把Android SDK添加到环境变量中 1.2把已root手机的系统中关键so拖到本地,必要时可以静态读取,获取系统函数的偏移地址。 例如把手机系统的system/lib的文件拖到本地debugging文件夹中。 adb pull /system/lib .\debugging\li
IDA动态调试---设置内存断点(半转载)
生命不息 折腾不止
07-22 9517
前言 在IDA中单步,找到一段数据后,想看看数据是如何被使用的。 对数据下内存访问断点。然后F9让cm跑起来,当内存访问断点命中后,停下来单步数据处理的逻辑,这样操作性强。 实验 实验环境 IDA7.0 + win10x64 *在代码区,g到找到的数据块地址。 *在数据块首地址按下F2,设置断点。 *因为这个断点所在位置不是代码块,IDA会弹出设置对话框。可以在里面填数据块长度。 ...
android so文件脱壳,安卓逆向idadex so壳内存脱壳教程
weixin_30994671的博客
05-27 1470
idc脚本:static main(void){auto fp, dexAddress, end, size;dexAddress = 0xA644C008;size = 0x0086CAB0;end = dexAddress + size;fp = fopen("D:\\classes.dex", "wb");for ( ; dexAddress < end; dexAddress++ )...
IDA memory dump
江南小虫虫的博客
05-26 1526
ida 内存dump的两种方式
IDA 调试 Android 方法及简单的脱壳实现
DeathMemory的专栏
05-24 2万+
本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文中如有不对的地方还请留言指正。 前置环境 JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机 动态启动调试 Android Killer 编译 x.apk
【愚公系列】2023年06月 内存分析之WinDbg(IDA+WinDbg驱动调试)
时光隧道
06-14 4723
IDA和WinDbg是两款不同类型的调试工具,通常用于不同的场景。IDA(Interactive DisAssembler)是一款交互式反汇编器,主要用于静态分析和反汇编二进制程序。它可以将二进制程序反编译成汇编语言,并提供了许多分析工具,可以查看反汇编代码,图形化地展示代码结构,并且可以跟踪代码的执行流程。IDA的优点是易于使用、功能强大、反汇编效果好,但是它不能用于动态调试。
IDA6.8 爱加密脱壳简单示例
PLA12147111的博客
09-10 5258
第一步:将手机的/system/lib/libart.so 文件拷贝出来. 注:↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ 5.0以下的系统是/system/lib/libdvm.so 5.0级5.0以上的是/system/lib/libart.so adb pull /system/lib/libart.so C:\Users\Administrator\Desk...
使用IDA调试SO脱壳,环境准备及各步骤原理详解
weixin_34099526的博客
11-01 414
引言 最近在捣鼓移动端的脱壳,虽然目前这方面的教程有挺多的了,但还是走了很多弯路,现在希望把这些内容记录下来帮助有需要的人 环境准备 手机环境 首先请准备一台手机,这台手机需满足以下三个条件: ——必须是真机 ——手机系统版本为安卓4.4及之前的系统 ——手机已经root 首先解释为什么要是真机,因为模拟器经常会遇见各种各样的问题(亲测)导致有些步骤进行...
ida调试php扩展,IDA动态调试Android App以及手动脱壳
weixin_33648352的博客
04-07 439
IDA的android_server push 到手机上,启动android_server。转发端口adb forward tcp:23946 tcp:23946如果是用gdbserver调试,则转发gdbserver设置的端口,比如adb forward tcp:9090 tcp:9090启动app:adb shell am start -D -n com.aaaa.bbbb/com.sewo...
FixVmpDump:Python脚本在IDA中修复VMP Dump API
而“dump”通常在计算机程序中用于将信息输出到文件,此处可能是将受保护的代码从内存中导出为一种可识别的格式。 描述部分提供了使用该脚本的具体步骤: 1. 第一步是在IDA中打开一个特定的模块(Need模块),然后...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值