IDA动态带壳调试分析

最新推荐文章于 2022-10-07 23:18:44 发布
VIP文章 最新推荐文章于 2022-10-07 23:18:44 发布
阅读量613 收藏
点赞数
分类专栏: 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34108752/article/details/100934173
版权

一:

adb install xxxx
adb push d:\as /data/local/tmp/as //如果已经push过as到手机上 就免掉这步
adb shell
su //如果已经给过权限 就免掉这步
chmod 777 /data/local/tmp/as //如果已经给过权限 就免掉这步
/data/local/tmp/as

adb forward tcp:23946 tcp:23946 //这个转发端口23946 到时在IDA里要设置的

二:
手机端运行带壳的apk

把脱壳后脱掉的 dex 拖入到 IDA中
设置下 Process Options 其他默认 设置下 port端口 为 23946 就是上面转发的端口
为什么是设置 进程呢 ? 因为是要附加到进程 这个调试 是调试手机端正在运行的apk
设置下断点

然后 attach Process 稍等会 再 choose 我们的目标 process
然后 点运行 这时弹出来 Running 信息框 不要动它
操作手机端
IDA运行到 断点 再按 F8单步步过 等慢慢调试
Debugger->Debugger Window 里 可以添加 Watch view (监视窗口)
右键可以添加 要监视的 变量 例如 (int)v1 监视v1转为int类型 的变量
可以通过 修改这些监视的变量 值 来修改执行逻辑

乡村隐士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用IDA Pro进行脱壳
武天旭的博客
10-03 2741
APK加固的两种方式:一种是对源APK整体做一个加固,放到指定位置,运行的时候再解密动态加载;还有一种是对so进行加固,在so加载内存的时候进行解密释放。一个APK加固,外面肯定得套一个壳,这个壳必须是自定义的Application类,它需要做一些初始化操作,一般加固的APK壳的Application类都喜欢叫StubApplication。1、查看是否加固首先解压出classes.dex文件,使用dex2jar工具查看Java代码,发现只有一个Application类,所以猜测APK被加壳了。
IDA PRO动态调试 尝试脱壳记录
01-08 3536
一直对时下流行的apk加固很感兴趣,今天抽空看了一下,不得不感叹现在的加固技术已经发展得这么厉害了。 于是花了点时间研究 了一下, 废话不多说,先整理记录一下。 1.开启调试模式     就是把手机弄成可调试的状态,就是ro.debuggable=1,这个是要修改ROM里面boot的,方法就不累赘了。 2.工具准备     PC端调试工具:IDA PRO,这里我用
程序加壳与脱壳
qq_43082315的博客
10-07 1190
程序加壳与脱壳原理
分析加壳--加壳程序如何工作及如何识别
dfwjtabcd的博客
01-27 1551
分析加壳--加壳程序如何工作及如何识别 前文   加壳可执行程序文件的两个主要的目的是缩小程序的大小,保护对加壳程序的探测与分析。虽然加壳器的种类众多,但是它们遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件,被转换的可执行文件将在这个新的可执行文件中作为数据存储,另外新的可执行文件还包括一个供操作系统调用的脱壳存根(stub)。下面首先以加壳程序如何工作及如何识别开始。 一、分析加壳 ...
六、IDA动态分析
生命不息 折腾不止
09-02 2923
6.1 本机调试 使用IDA打开exe,选择菜单Debugger下的Start process(也可以按F9键)来开始调试;在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢复。 6.2如何对DLL文件进行动态跟踪 用[F2]在IDA View中当前代码行切换断点。 启动装载DLL的EXE文件。 使...
android常用的动态分析工具,Android逆向-4.IDA工具介绍-动态分析界面简单介绍-Go语言中文社区...
weixin_31764625的博客
05-26 219
动态简单分析需要工具:IDA-7.0SDK模拟器-AVD创建的1. 运行模拟器2.adb连接模拟器,并进行操作# 查看当前所有模拟器信息C:UsersAdministrator>adb devicesList of devices attachedemulator-5554 device#找到android_server(在IDA 7.0dbgsrv下面)并上传到模拟器中,这里我把and...
IDA Bad Type修正
DeathMemory的专栏
06-08 1959
在使用 IDA 调试 APK 时经常遇到变量无法识别的情况,需要在WatchView里面手动加入类型转换,如下图 但是官方给出的 DalvikDbg 文档里如下说: Attention! An incorrect type may cause the Dalvik VM to crash. There is not much we can do about it. Our recom
安卓逆向学习笔记(9)- 使用IDA Pro进行简单的脱壳
热门推荐
蜗牛
05-30 2万+
使用dex2jar反编译Apk中的classes.dex就能获取到Apk的java层源代码。那么有什么办法可以保护classes.dex,防止Apk的源代码被偷窥呢?那就是加壳了,关于Apk加壳的技术原理,请看这篇博客Android APK加壳技术方案【1】  小弟所了解的Apk脱壳方法有两种: (1)使用脱壳神器ZjDroid进行脱壳,详细操作请看这两篇博客:Android动态逆向分析工具Z
使用IDA调试SO脱壳,环境准备及各步骤原理详解
weixin_34099526的博客
11-01 293
引言 最近在捣鼓移动端的脱壳,虽然目前这方面的教程有挺多的了,但还是走了很多弯路,现在希望把这些内容记录下来帮助有需要的人 环境准备 手机环境 首先请准备一台手机,这台手机需满足以下三个条件: ——必须是真机 ——手机系统版本为安卓4.4及之前的系统 ——手机已经root 首先解释为什么要是真机,因为模拟器经常会遇见各种各样的问题(亲测)导致有些步骤进行...
Android_APK 之使用IDA脱壳环境搭建
superbigcupid的专栏
06-21 1010
原文地址:http://www.jianshu.com/p/8a4e5da08fcb 前言 首先感谢各路大神发表的博客,查阅的太多就不挨个点名道谢了本文旨在对学习使用IDA手动对Android应用脱壳的过程中,针对环境搭建遇到的一些细节问题进行记录和分享,存在的不足与错误还望各位指正首先分享一个连接:使用IDA进行简单的脱壳刚开始接触使用IDA进行脱壳,我学习参考的就是上面
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
【移动安全基础篇】——23、IDA脱壳脚本编写
Fly_鹏程万里
01-14 1259
1.  强制挂接 ps | grep “xxx” 查找进程 id 值 kill -19 pid 暂停进程 ida 挂接,dump 出需要的数据 ida 脱离挂接 kill -18 pid 继续进程 2.  内存 dex  定位 gDvm.userDexFiles 是存放 dex cookie(DexOrJar 结构)的地方,因此可以通过遍历该结构 获取每个 dex 文件的起始地址。 3. De...
IDA 调试 Android 方法及简单的脱壳实现
DeathMemory的专栏
05-24 1万+
本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文中如有不对的地方还请留言指正。 前置环境 JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机 动态启动调试 Android Killer 编译 x.apk
使用IDA从内存中dump指定的dex
XXOOYC的专栏
05-09 1万+
虽然自己编译了一套能够简单够脱壳的坏境,不过使用上总感觉比较重量级。 今天只想把APK中某个动态解密,加载的dex搞出来,用IDA轻快很多。 步骤1: 首先通过cat /proc/pid/maps查看目标dex文件所在的内存地址: 可以看到我们的起始地址是:5faa2000                             结束地址是:5fb36000
android so文件脱壳,安卓逆向ida脱dex so壳内存脱壳教程
weixin_30994671的博客
05-27 1278
idc脚本:static main(void){auto fp, dexAddress, end, size;dexAddress = 0xA644C008;size = 0x0086CAB0;end = dexAddress + size;fp = fopen("D:\\classes.dex", "wb");for ( ; dexAddress < end; dexAddress++ )...
利用IDA学习一个简单的安卓脱壳
giantbranch的专栏
09-12 4928
这是看别人的文章学习的,当然还有加点自己的思考,截图用自己的,这样的学习才有效果啊 原理篇 dvmDexFileOpenPartial这是函数是关键,据说在这下 断点就可以了,看名字就是虚拟机去打开Dexfile的意思,应该那时已经解壳完成了吧 函数原型: int dvmDexFileOpenPartial(const void* addr, int len,
修改apk图标及名字
qq_34108752的博客
09-12 1万+
一:改图标 apk图标 也是个图片 一般来说是存放在资源文件夹里的 反编译后 res文件下 打开AndroidManifest.xml <application android:allowBackup=“true” android:icon="@drawable/icon" 在res\values\public.xml中出现 在com/app/idol/R$drawable中出现 .fie...
ida7.0动态调试安卓
最新发布
09-04
动态调试安卓应用程序是使用IDA 7.0进行分析调试。 首先,我们需要准备一个安卓设备(手机或模拟器)和一台运行IDA 7.0的计算机。 1. 在计算机上安装IDA 7.0,并确保它与安卓设备能够进行通信。可以通过连接设备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值