本文介绍了一种使用IDA Pro及GDB Server调试Sony平板官方加密ROM的方法。通过详细步骤展示了如何定位并跟踪平板内部程序,最终实现了解密程序的目标。
这里记录本人的学习的过程,分享给大家.希望大家不要像我一样走弯路.
我的方法只需要ida,不用sdk,ndk,jre什么一大票东西,很快就能上手
有什么不对之处欢迎指正.
-----------------------------------------
在xda看到受到某人鼓动,心血来潮想写一个官方rom的解扰器.
sony的平板的的官方rom是加密的,直接看不到文件内容.心想既然平板自己能解开升级,解密程序一定在板子能找到.但如何跟踪平板里面的c程序就成了拦路虎.
(本人平板系统3.2.1,已root)
以前用过几次IDA PRO,略懂.于是找了新一点的6.1版本,看看说明,在平板运行客户端就行
让豌豆荚帮我连好驱动.
把ida的android_server推送到/data/local/tmp
进shell加运行属性,以root身份运行
让adb转发网络数据
启动ida pro,选择调试器remote android debugger,设置网络127.0.0.1端口23946
在debugger菜单选attach
弹出窗口让我选进程
然后选择我的目标程序,确定,哈哈,停到程序里了
第一次看到这,让我兴奋不已。
随后发现根不能进断点。仔细看命令窗口才发现
惨,这个是怎么回事?一番谷歌,才找到这个
www.woodmann.com/forum/archive/index.php/t-14714.html
大概是说ida6.1带的调试服务端只兼容安卓2.x版本,在我的3.2水土不服,无法附加到指定线程。
好吧,只好另想办法,不过此时,仔细浏览一下开始停的地方,上下看看,看到我想要跟的so文件的加载地址是0x81000000,记下来,这有用。另外在attach也看到目标进程的pid,这也有用。
看到debugger选择里有remote GDB,这提醒我要找个arm版本gdb server.哪里有预编译好文件呢。NDK!,下载NDK,不用装,解压就能看到在预编译文件夹就有。于是又把gdbserver推送到平板运行起来,别忘了让adb转发你的端口,我这里用1111端口,假设上面记得pid是1234
重新运行ida,换debugger,指定端口1111,再attach.
好了我又进来了,可是怎么断点还不停?
哦,前面不是看到我要跟踪的so地址是0x81000000嘛,ida里rebase到那个地址,再下断点
哈哈,终于停到我要的地方了。大功告成!
能跟踪了,看不看得懂代码意图,就看你的功力了
注,调试命令,如单步什么的都无效,你只能多下些断点了。
运行到断点是,断点所在位置代码会显示成别的,影响阅读,也影响流程图绘制,这只能克服。
断点停的太久,系统听不到进程的心跳,就会询问是否结束程序,别点哦
至于我的程序,我只看懂流程,不全懂(不是上面的程序)。但是还是照猫画虎的移植到windows上,完成解码器。
具体方法,下回再说,嘻嘻
gdbserver我已上传到下载频道,还在审核,晚些应该能搜索到。
我的方法只需要ida,不用sdk,ndk,jre什么一大票东西,很快就能上手
有什么不对之处欢迎指正.
-----------------------------------------
在xda看到受到某人鼓动,心血来潮想写一个官方rom的解扰器.
sony的平板的的官方rom是加密的,直接看不到文件内容.心想既然平板自己能解开升级,解密程序一定在板子能找到.但如何跟踪平板里面的c程序就成了拦路虎.
(本人平板系统3.2.1,已root)
以前用过几次IDA PRO,略懂.于是找了新一点的6.1版本,看看说明,在平板运行客户端就行
让豌豆荚帮我连好驱动.
把ida的android_server推送到/data/local/tmp
|
1
|
adb push android data/local/tmp
|
进shell加运行属性,以root身份运行
|
1
2
3
4
5
6
|
adb shell
su
cd data/local/tmp
chown 0.0 *
chmod 777 *
./android_server
|
让adb转发网络数据
|
1
|
adb forward tcp:23946 tcp:23946
|
启动ida pro,选择调试器remote android debugger,设置网络127.0.0.1端口23946
在debugger菜单选attach
弹出窗口让我选进程
然后选择我的目标程序,确定,哈哈,停到程序里了
第一次看到这,让我兴奋不已。
随后发现根不能进断点。仔细看命令窗口才发现
|
1
2
3
4
|
Could not set the shlib bpt, shared object events will not be handled
B0001000: loaded /system/bin/linker
8000: process /system/bin/app_process has started (pid=4473)
Debugger: attached to process /system/bin/app_process (pid=4473)
|
惨,这个是怎么回事?一番谷歌,才找到这个
www.woodmann.com/forum/archive/index.php/t-14714.html
大概是说ida6.1带的调试服务端只兼容安卓2.x版本,在我的3.2水土不服,无法附加到指定线程。
好吧,只好另想办法,不过此时,仔细浏览一下开始停的地方,上下看看,看到我想要跟的so文件的加载地址是0x81000000,记下来,这有用。另外在attach也看到目标进程的pid,这也有用。
看到debugger选择里有remote GDB,这提醒我要找个arm版本gdb server.哪里有预编译好文件呢。NDK!,下载NDK,不用装,解压就能看到在预编译文件夹就有。于是又把gdbserver推送到平板运行起来,别忘了让adb转发你的端口,我这里用1111端口,假设上面记得pid是1234
|
1
2
3
4
|
adn forward rcp:1111 tcp1111
adb shell
su
./gdbserver --attach :1111 1234
|
重新运行ida,换debugger,指定端口1111,再attach.
好了我又进来了,可是怎么断点还不停?
哦,前面不是看到我要跟踪的so地址是0x81000000嘛,ida里rebase到那个地址,再下断点
哈哈,终于停到我要的地方了。大功告成!
能跟踪了,看不看得懂代码意图,就看你的功力了
注,调试命令,如单步什么的都无效,你只能多下些断点了。
运行到断点是,断点所在位置代码会显示成别的,影响阅读,也影响流程图绘制,这只能克服。
断点停的太久,系统听不到进程的心跳,就会询问是否结束程序,别点哦
至于我的程序,我只看懂流程,不全懂(不是上面的程序)。但是还是照猫画虎的移植到windows上,完成解码器。
具体方法,下回再说,嘻嘻
gdbserver我已上传到下载频道,还在审核,晚些应该能搜索到。
扫一扫
2979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
