IDA调试android so的.init_array数组

最新推荐文章于 2023-09-20 15:16:40 发布
最新推荐文章于 2023-09-20 15:16:40 发布
阅读量222 收藏 1
点赞数
文章标签: 移动开发 java 操作系统
原文链接:http://www.cnblogs.com/bingghost/p/6297325.html
版权


参考: http://www.itdadao.com/articles/c15a190757p0.html


一. 为什么要调试init_array

init_array的用途

1. 一些全局变量的初始化 (我这里试过, 一些全局变量的初始化,会统一用一个init_array表项来完成初始化)

2. 通过__attribute__ ((constructor)) 声明的函数 (可以定义n个)

通过so加载流程来看,init_array是我们程序代码可以控制的最早的时机了, 其次才加载Jni_onload

所以有些样本会在init_array做一些反调试和相关环境检测的活, 所以我们需要在init_array中和对方兵戎相见


当然网上已有很多教我们如何在init_array下断的函数, 但是却都只教了方法, 没有细说原理, 最后我们可能只学会了几个快捷键, 空有招式却无内功, 知其然却不知其所以然, 下面我们就姿势和知识这2方面来进行讨论


二. 断init_array的姿势

1. 定位调试进程中linker的dlopen函数地址

把调试机器中的linker拷贝出来, 路径为/system/bin/linker, 然后开一个IDA分析

在Shift+F12在字符串窗口中查找"dlopen", 跟踪引用到一个函数, 如下图

198684-20170118165140718-786934426.png

 得到其文件偏移为0xF30


附加上调试器后, 我们得到linker加载到内存的起始地址为400BD000 

198684-20170118165141312-1686490026.png

 所以我们在代码窗口Go过去看看400BD000 + F30 = 400BDF30


发现全部是DCB形式的代码(代码没有解析出来), 这个时候我们需要对linker进行分析, 操作如下: 右键->Analyze Module

198684-20170118165141968-265313419.png


go过去我们发现和静态分析中的一样,  在函数头部下一个断点

198684-20170118165142562-941211491.png  


2. 定位到calling相关代码

同样在拷贝出来的ida搜索字符串calling

198684-20170118165143171-1971168493.png


同样定位到代码,得到文件偏移 2720

198684-20170118165143750-1415227038.png


那么我们内存中的地址就是 400BD000 + 2720 = 400BF720

同样在调试的ida中下好断点, 第2个断点就是调用.init_array数组的代码

198684-20170118165148015-838129537.png  


然后按F9,注意观察寄存器窗口, 当有显示调试的是你想要断的so的时候开始注意

当断点断在BLX R4的时候,下一步就是调用init_array数组了, 所以F7跟进去

198684-20170118165148968-718522159.png 


在直接把我们想要分析的so拖到ida分析进行验证, 代码一样, 说明我们成功的断点在了init_array数组

198684-20170118165149687-993559650.png 


二. 断init_array的知识

通过上面的操作我们学会了招式, 内功心法却不见修习, 下面我们通过Android的系统源码来一探究竟


环境介绍

源码环境: Android 6.0.1

没有下载源码的同学可以去androidxref在线看源码也很方面

http://androidxref.com/


1. 回到源头看问题

我们都知道我们要在apk中要加载一个so我们可以通过

System.loadLibrary("libname");  

System.load("lib_path");                  

这2者区别如下:

(1). System.load参数必须为库文件的绝对路径,可以是任意路径;

(2). System.loadLibrary参数为库文件名,不包含库文件的扩展名,必须是在JVM属性Java.library.path所指向的路径中,路径可以通过System.getProperty('java.library.path')


2. java层到native层的过程

我们把android_source\libcore\luni部分的源码作为单独的部分丢进Source Insight进行分析

定位到android_source\libcore\luni\src\main\java\java\lang\System.java, 搜索loadLibrary, 就可以开始分析了


java层代码主要是一些路径, 和标记值的初始化

最后比较关键的函数是JavaVMExt.LoadNativeLibrary, 该函数主要完成如下事情

1. 调用linker的dlopen完成加载

2. 调用dlsym获取目标so的JniOnload地址并调用

3. 初始化SharedLibrary对象并添加到表中, 下次加载相同的so则不在重复加载


linker之前的函数调用流程图如下:

198684-20170118165150656-1061181955.png


3. linker的dlopen简易分析

android系统通过调用linker的dlopen来完成so的转载


把aosp\bionic目录添加到source insight中进行分析

配合AndroidXref站点我们找到, dlopen定义在dlfcn.cpp中


dlopen函数定义如下, 只是简单的调用了dlopen_ext

198684-20170118165151343-950801845.png

 
跟进 dlopen_ext 函数, 该函数返回一个soinfo的结构体指针
而且这个指针最后作为函数返回值返回了
198684-20170118165151984-1247634384.png


do_dlopen简单的判断了一下参数, 然后调用find_library进行转载链接so文件

加载成功后,返回soinfo对象指针,同时调用soinfo的成员函数call_constructors来调用so中的init_array

198684-20170118165152750-1411026654.png


call_constructors先完成其他模块的加载,然后调用call_array()来调用init_array数组的调用

198684-20170118165153593-1640375546.png

 
call_array循环调用call_funtion来进行加载
198684-20170118165154546-1326201850.png
最后call_function只是简单的调用传进来的函数指针, 可以看到我们上面的下断点的字符串就来自于下面 
198684-20170118165155171-1209017084.png 

由于篇幅问题,大致介绍下linker的调用流程, 函数调用流程如下:

198684-20170118165156593-644364000.png

1. 在do_dlopen中通过find_library进行加载so

    在加载完so后通过call_constructors完成init_array的加载

2. find_library最后调用load_libray完成so的转载

3. 最后通过load_library的elf_reader.load完成so的装载


四.总结

由于android是开源的操作系统, android中的很多问题我们都可以通过分析源码来了解细节, 解决问题, 并知其所以然

同时我们还可以通过编译源码来定制我们想要的功能, 达到我们想要的目的












转载于:https://www.cnblogs.com/bingghost/p/6297325.html

weixin_30386713
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
So自加密解密(找不到JNI_Onload 跟 init_array
qq_34108752的博客
09-30 2877
Shelldemo.apk 里 libdemo.so 看到 getString 这个函数 下面是一堆DCD 行 说明这个函数 被加密了 那么如何得到它真实的 函数样子了? 我们得知 在运行的时候 so被加载的时候 是要先被解密 然后加载进内存的 我们就想到 在 libdvm.so 系统so 里的 loadnative(是关键字不全)这个函数里 这个函数里 有去加载 apk的 so的 J...
ida 工具常用操作
08-05 763
导航条: 蓝色 表示常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida未识别的内容 IDA主界面: IDA View三种反汇编视图:文本视图、图表视图、路径视图 Hex View 十六进制窗口 Imports 导入函数窗口 Struceures 结构体窗口 Exports 导出函数窗口 Enums 枚举窗口 Strings 字符串窗口 ...
AOSP系统沙箱-输出动态库中init_array函数地址
最新发布
weixin_44348983的博客
09-20 121
aosp沙箱
Android so文件的.init、.init_array上和JNI_OnLoad处下断点
luohai859的专栏
01-19 8920
移动端Android安全的发展,催生了各种Android加固的诞生,基于ELF文件的特性,很多的加固厂商在进行Android逆向的对抗的时,都会在Android的so文件中进行动态的对抗,对抗的点一般在so文件的.init段和JNI_OnLoad处。因此,我们在逆向分析各种厂商的加固so时,需要在so文件的.init段和JNI_OnLoad处下断点进行分析,过掉这些加固的so对抗。
android 动态字符串数组初始化,IDA 动态调试Android8 SO .init .init_array JNI_Onload
weixin_32019577的博客
05-26 284
前言网上已经有很多在Android4中IDA如何调试.init .init_array JNI_Onload等文章,比如下面给出的参考,写的也非常详细,所以今天我们不讨论Android4。我们以Android8为例子。查找关键函数的偏移地址想要调试.init .init_array必须找到,call_function函数中的function(g_argc, g_argv, g_envp);地址,和...
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
ida.rar_C Builder_ida
09-24
ida encryption algorithm
IDA.rar_disassembler_ida_visual c
09-19
IDA简易入门教程,反汇编程序工具的使用
LAuth_ida_idadatabase_If..._anotherversion_
09-30
another version if ida database
IDA-Pro-5.4.chm.zip_ ida_IDA Pro_IDA Pro 5_ida
09-19
著名逆向工程的工具IDA的使用说明,是中文版的。很好,很实用。
init_array教程
03-25
用于说明init_array编写和调试的教程
linux动态数组初始化,linux – 使用ELF文件的“.init_array”部分
weixin_39597323的博客
05-14 450
如果需要在程序启动时运行一段代码(在Linux上),如何正确使用可执行文件(ELF32-i386)的.init_section?我有以下代码(GNU汇编程序),它具有ctor初始化函数,并且该函数的地址放在.init_array部分:.intel_syntax noprefix.datas1: .asciz "Init code\n"s2: .asciz "Main code\n".global ...
android 整形数组初始化,Android逆向之编写和调试init_array
weixin_39640845的博客
05-28 635
前言Elf 可执行文件和共享目标文件都有的一个节是 .init_array(类似于PE文件格式的TLS),它先于JNI_OnLoad或者main函数执行,主要用于给编译器生成初始化C或者C++运行时库,为后续代码准备运行时环境。.init_array 节中包含指针,这些指针指向了一些初始化代码,在分析linker 源码中,可以知道节的执行顺序一般为.preinit_array-> .init...
《教我兄弟学Android逆向11 动态调试init_array
会飞的丑小鸭的博客
01-09 1445
上一篇 《教我兄弟学Android逆向10 静态分析反调试apk》我带你用jeb+IDA静态分析了反调试apk,并且了解了init_array和jnionload的执行顺序 通过静态patch的方法 我们过掉了反调试验证,但光是静态patch似乎还不过于完美 有时候还需要配合动态调试来达到破解的目的 基于上节课你表现良好 那么这节课我将为你带来动态调试init_array的教程 注意认真听课不要...
安卓逆向_21 --- Java层和so层的反调试IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1262
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
Android C语言_init函数和constructor属性及.init/.init_array节探索
beyond702的专栏
12-13 4296
了解C语言的程序猿都知道有两种方法可以让一部分代码在so或可执行文件被加载的时候先于其它任何函数执行,一种是定义一个void _init(void)函数,另一种是在函数后面声明constructor属性。那么这两种方式在执行的时候有什么区别吗?先后顺序呢?了解ELF文件格式的人又会问它们在文件中的位置又有什么差别呢?这篇文章就来解答这些问题。 首先你需要了解一下ELF文件格式了,这里就不啰嗦了,
初始化程序运行的环境
龙瑜的博客
09-08 4217
pc 端程序运行的环境的建立过程有很多被隐藏了,而在嵌入式中一般我们都能看到完整的建立过程。这些过程能够让我们更清楚程序执行所依赖的环境,同时也可能会让我们进一步思考这些环境对程序的表达能力的扩展。 以 rv32m1_vega 为例! 关中断——在临界区内初始化程序运行环境 为什么这时候要关中断呢? 你可以想想这时候程序执行的环境还没有建立起来,如果产生了中断,那么系统也无法处理,而且中断的优...
ELF文件格式
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-01 767
Executable and Linkable Format是Linux操作系统上默认的二进制格式一个可以执行的文件就是存储了一些数据和代码,我们要明白ELF文件,每一部分。
IDA 动态调试Android SO .init .init_array JNI_Onload总结
七月冷雨
08-03 2333
在安卓脱壳过程中,经常需要用ida动态调试so,并且在解密代码执行前下断点,下面介绍用IDAAndroid so文件的.init、.init_array上和JNI_OnLoad处下断点方法。我们以自己编写的一个小程序initTest.apk为例,该apk实现了在.init、.init_array上和JNI_OnLoad 中的方法中打印日志功能.一、上传android_server,启动androi
IDA Pro调试so
04-04
IDA Pro是一款反汇编工具,它可以用来调试so文件。下面是IDA Pro调试so文件的步骤: 1. 打开IDA Pro,并打开要调试的so文件。 2. 在IDA Pro的菜单栏中选择“Debugger”->“Process Options”。 3. 在“Process ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值