IDA远程调试 在内存中dump Dex文件

最新推荐文章于 2023-10-04 01:35:11 发布
最新推荐文章于 2023-10-04 01:35:11 发布
阅读量190 收藏
点赞数
原文链接:http://www.cnblogs.com/shaoge/p/5425229.html
版权
本文介绍了一种通过调试JNI_OnLoad函数并利用IDA工具挂载APK的方法,来定位并dump内存中的DEX文件,从而实现脱壳的过程。文章还提到了这种方法的局限性,即对于动态修改DEX结构体的高级壳可能无法完全脱壳。
摘要由CSDN通过智能技术生成

1. 首先使用调试JNI_OnLoad函数的方法,先将apk以调试状态挂起,使用IDA附加上去。

2. 然后在libdvm.so中的dvmDexFileOpenPartial函数上下一个断点

3. 然后我们点击继续运行,程序就会在dvmDexFileOpenPartial()这个函数处暂停,R0寄存器指向的地址就是dex文件在内存中的地址,R1寄存器就是dex文件的大小

4. 然后我们就可以使用ida的script command去dump内存中的dex文件了。

static  main( void )
{
   auto fp, begin, end, dexbyte;
   fp =  fopen ( "C:\\dump.dex" "wb" );
   begin = r0;
   end = r0 + r1;
   for  ( dexbyte = begin; dexbyte < end; dexbyte ++ )
       fputc (Byte(dexbyte), fp);
}

 Dump完dex文件后,我们就可以用工具来查看了。

 当然这只是最简单脱壳方法,很多高级壳会动态修改dex的结构体,比如将codeoffset指向内存中的其他地址,这样的话你dump出来的dex文件其实是不完整的,因为代码段保存在了内存中的其他位置。

转载于:https://www.cnblogs.com/shaoge/p/5425229.html

weixin_33975951
关注
IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 8857
最近研究SO文件调试dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
IDA动态调试Android的DEX文件
10-22
IDA动态调试Android的DEX文件的具体的步骤和细节过程,有需要的可以下载来看看。
【记录】IDAIDA7.6怎么查看内存分布情况(内存范围和读写性)
qq_46106285的博客
10-04 1351
View-Toolbars-Segments
Android动态方式破解apk终极篇(加固apk破解方式)
weixin_30656145的博客
03-02 4608
一、前言 今天总算迎来了破解系列的最后一篇文章了,之前的两篇文章分别为: 第一篇:如何使用Eclipse动态调试smali源码 第二篇:如何使用IDA动态调试SO文件 现在要说的就是最后一篇了,如何应对Android一些加固apk安全防护,在之前的两篇破解文章,我们可以看到一个是针对于Java层的破解,一个是针对于native层的破解,还没有涉及到apk的加固,那么今天就要来介绍一下...
使用IDA内存dump指定的dex
XXOOYC的专栏
05-09 1万+
虽然自己编译了一套能够简单够脱壳的坏境,不过使用上总感觉比较重量级。 今天只想把APK某个动态解密,加载的dex搞出来,用IDA轻快很多。 步骤1: 首先通过cat /proc/pid/maps查看目标dex文件所在的内存地址: 可以看到我们的起始地址是:5faa2000                             结束地址是:5fb36000
DBGHider:一个IDA插件旨在隐藏进程调试
05-12
它旨在从进程隐藏IDA Winddows调试器。 DBGHider使用idaapi.DBG_Hooks钩住调试器: 在函数dbg_process_start修补PEB(流程环境块)和WoW PEB。 钩函数,例如dbg_library_load的dbg_library_load 。 挂钩 ...
IDA动态调试
12-01
Android使用IDA调试so来apk
IDA附加调试android动态库.so文件帮助小程序源码
06-26
IDA调试动态库.so时,经常需要用jdb启动挂起进程,IDA附加进程, 映射端口到进程pid,这里的pid每次都是变化的,需要手工输入,很麻烦,所以写了一个小程序,只需要敲一行命令 nadb 进程名,很爽......
idapro so文件查看神器
最新发布
10-06
idapro so文件查看神器,idapro so文件查看神器,idapro so文件查看神器
一次完整的IDA动态调试dex过程
l_mingo的博客
05-10 1万+
使用到的工具 IDA6.8,adb,apktool,auto-sign 原料:Crackme.apk文件 阶段一——反编译重打包重签名: 使用apktool反编译Crackme.apk 用法 apktool.bat d 查看一下AndroidManifest.xml文件,确认一下是否是android:debuggable="true",没有的话加上在加上, 此时如
调试内存_IDA调试修改内存数据
weixin_29404509的博客
01-13 1168
点击蓝字默默关注1修改寄存器的值以图1.1所示的BLX R3这个函数为例,执行完毕后,他的返回值在右面的R0寄存器,对它进行修改。 (图1.1)1.将鼠标移到R0寄存器,右键,选择“Modify value”选项,可以修改为任意值,如图1.2所示。 (图1.2)2.除了...
安卓逆向学习笔记(9)- 使用IDA Pro进行简单的脱壳
蜗牛
05-30 2万+
使用dex2jar反编译Apk的classes.dex就能获取到Apk的java层源代码。那么有什么办法可以保护classes.dex,防止Apk的源代码被偷窥呢?那就是加壳了,关于Apk加壳的技术原理,请看这篇博客Android APK加壳技术方案【1】  小弟所了解的Apk脱壳方法有两种: (1)使用脱壳神器ZjDroid进行脱壳,详细操作请看这两篇博客:Android动态逆向分析工具Z
Android安全–一次简单的脱壳Dump dex实践
林海
07-06 7412
这篇脱壳是参考别人自己进行的一次简单的实践,主要是为了了解脱壳的流程以及工具的使用。 下面直接进入正题吧: 例子下载地址: 链接: http://pan.baidu.com/s/1c08Ufeg 密码: n8dc 首先把apk后缀改成.zip打开,发现dex文件只有1.23kb,所以真正的代码肯定不在这里,而是在运行解密出来动态加载的。 话不多说,直接上工具,首
IDA调试so文件进阶篇
九天
10-27 6597
之前我们讲了用IDA调试so文件的基础,想了解的可以转这里:http://blog.csdn.net/u012195899/article/details/52780062,今天学习当apk采用了一些反调试手段时,如何使用IDA来帮助我们解决问题。这里我们使用14年阿里ctf第三题作示例。 一、安装apk 因为我们需要对apk进行调试,因此拿到apk的第一件事,就是使用apktool反
IDA PRO动态调试 尝试脱壳记录
01-08 3613
一直对时下流行的apk加固很感兴趣,今天抽空看了一下,不得不感叹现在的加固技术已经发展得这么厉害了。 于是花了点时间研究 了一下, 废话不多说,先整理记录一下。 1.开启调试模式     就是把手机弄成可调试的状态,就是ro.debuggable=1,这个是要修改ROM里面boot的,方法就不累赘了。 2.工具准备     PC端调试工具:IDA PRO,这里我用
ida使用技巧之动态调试
热门推荐
m0_52164435的博客
05-20 2万+
一、ida动态调试 1、介绍 众所周知,ida是一款非常优秀的反编译软件,在静态逆向是属于屠龙宝刀一般的存在,他不仅仅有着优秀的静态分析能力,同时还有着极其优秀的动态调试能力,甚至可以直接对生成的伪代码进行调试,这一点远超其他只能在汇编层进行调试的动态调试器,极大的增加了动态调试程序的可读性,能够节省很多精力。甚至可以以远程调试的方式,将程序部署在linux或安卓端上,实现elf文件和so文件等的动态调试。 2、本地调试(Windows) 首先从本地动态调试开始 加载目标文件 万年第一步,使用ida打开目
IDA动态调试---设置内存断点(半转载)
生命不息 折腾不止
07-22 8760
前言 在IDA单步,找到一段数据后,想看看数据是如何被使用的。 对数据下内存访问断点。然后F9让cm跑起来,当内存访问断点命后,停下来单步数据处理的逻辑,这样操作性强。 实验 实验环境 IDA7.0 + win10x64 *在代码区,g到找到的数据块地址。 *在数据块首地址按下F2,设置断点。 *因为这个断点所在位置不是代码块,IDA会弹出设置对话框。可以在里面填数据块长度。 ...
Idea查看显示实时内存
明训的专栏
06-17 3197
文章目录背景说明解决方案2019.X版本2020.1版本方案一方案二2020.2+版本方案一方案二 背景说明 Idea在使用过程经常会涉及到一个启动内存设置多大的问题,设置少了担心不够用卡,设置多了在有限的机器硬件资源下又觉得里浪费,Idea官方提供了显示实时内存的方案。 解决方案 2019.X版本 打开Preferences(File->Settings…)–>Appearance & Behavior–>Appearance(找到Windows Options),左侧勾选Wi
使用IDA的GDB调试器在VMWare远程调试Linux内核
文件添加以下行: 1. `debugStub.listen.guest32="TRUE"` 2. `debugStub.hideBreakpoints="TRUE"` 3. `monitor.debugOnStartGuest32="TRUE"` 保存文件后,通过VMware的“电源”按钮或工具栏上的绿色播放按钮...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值